@Star_Knight12: Next.js 出现了史上最严重的漏洞,CVSS 8.6。→ 影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4 →…
摘要
Next.js 存在一个严重漏洞(CVSS 8.6),影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4,允许未经身份验证的攻击者访问内部服务、云凭证和 API 密钥。请立即升级到 15.5.16 或 16.2.5。
相似文章
React2Shell 的故事以及 Next.js 的后续发展
本文详细介绍了 CVE-2025-5518(React2Shell)的发现与披露过程。这是一个存在于 React Server Components 中的严重远程代码执行漏洞,研究人员通过绕过 Flight 协议的验证机制来访问对象原型。
React2Shell 漏洞事件
安全研究员 Lachlan 于 2025 年 11 月 30 日发现并报告了一个名为“React2Shell”的严重远程代码执行漏洞,该漏洞存在于 React 服务器组件协议中,并向 Meta 进行了报告。Meta 于 12 月 3 日发布了修复程序和安全公告(CVE-2025-55182),敦促开发者立即更新,因为该漏洞影响了数百万使用 React/Next.js 构建的网站。
数百万AI代理因开源包中的严重漏洞而面临风险
开源ASGI框架Starlette中的一个严重漏洞(CVE-2026-48710,名为BadHost)使数百万AI代理和服务器面临数据被盗和凭证泄露的风险,影响了FastAPI、vLLM和LiteLLM等框架。该漏洞已在Starlette 1.0.1中修复,利用起来非常简单,凸显了AI工具生态系统中的风险。
CVE-2026-48710:维护者的视角
Marcelo Trylesinski 分享了他对 CVE-2026-48710 的看法,这是一个 Starlette 中的安全漏洞,涉及通过操纵 Host 标头绕过基于路径的授权。他认为该漏洞源于应用模式和部署方式,而非框架本身。
CVE-2026-48710 Starlette 主机头身份验证绕过
Starlette 和 FastAPI 中存在一个严重的主机头身份验证绕过漏洞(CVE-2026-48710),影响众多 Python ASGI 应用,包括 AI 推理服务器(如 vLLM)、AI 代理服务器(如 LiteLLM)和 MCP 网关,可能导致未授权访问。