@Star_Knight12: Next.js 出现了史上最严重的漏洞,CVSS 8.6。→ 影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4 →…

X AI KOLs Following 工具

摘要

Next.js 存在一个严重漏洞(CVSS 8.6),影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4,允许未经身份验证的攻击者访问内部服务、云凭证和 API 密钥。请立即升级到 15.5.16 或 16.2.5。

Next.js 刚刚出现了其史上最严重的漏洞,CVSS 8.6。→ 影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4 → 攻击者可以访问你的内部服务、云凭证、API 密钥和管理面板 → 无需身份验证 → 只需一个精心构造的请求即可 → 目前约有 79,000 个实例可利用 → Vercel 托管的应用是安全的,自托管的不安全 → 请立即升级到 15.5.16 或 16.2.5。
查看原文

相似文章

React2Shell 的故事以及 Next.js 的后续发展

Lobsters Hottest

本文详细介绍了 CVE-2025-5518(React2Shell)的发现与披露过程。这是一个存在于 React Server Components 中的严重远程代码执行漏洞,研究人员通过绕过 Flight 协议的验证机制来访问对象原型。

React2Shell 漏洞事件

Hacker News Top

安全研究员 Lachlan 于 2025 年 11 月 30 日发现并报告了一个名为“React2Shell”的严重远程代码执行漏洞,该漏洞存在于 React 服务器组件协议中,并向 Meta 进行了报告。Meta 于 12 月 3 日发布了修复程序和安全公告(CVE-2025-55182),敦促开发者立即更新,因为该漏洞影响了数百万使用 React/Next.js 构建的网站。

数百万AI代理因开源包中的严重漏洞而面临风险

Ars Technica

开源ASGI框架Starlette中的一个严重漏洞(CVE-2026-48710,名为BadHost)使数百万AI代理和服务器面临数据被盗和凭证泄露的风险,影响了FastAPI、vLLM和LiteLLM等框架。该漏洞已在Starlette 1.0.1中修复,利用起来非常简单,凸显了AI工具生态系统中的风险。

CVE-2026-48710:维护者的视角

Lobsters Hottest

Marcelo Trylesinski 分享了他对 CVE-2026-48710 的看法,这是一个 Starlette 中的安全漏洞,涉及通过操纵 Host 标头绕过基于路径的授权。他认为该漏洞源于应用模式和部署方式,而非框架本身。

CVE-2026-48710 Starlette 主机头身份验证绕过

Lobsters Hottest

Starlette 和 FastAPI 中存在一个严重的主机头身份验证绕过漏洞(CVE-2026-48710),影响众多 Python ASGI 应用,包括 AI 推理服务器(如 vLLM)、AI 代理服务器(如 LiteLLM)和 MCP 网关,可能导致未授权访问。