全球数百万开发人员使用的流行 React 框架 Next.js 最近披露了一个安全漏洞，该漏洞可能允许未经授权访问敏感的应用程序数据。

该漏洞被追踪为 CVE-2024-51479，CVSS 得分为 7.5，由 IERAE 的 GMO Cybersecurity 的 tyage 发现。该漏洞影响 Next.js 9.5.5 至 14.2.14 版本。

该漏洞源于 Next.js 中间件中的授权绕过问题。正如安全公告中所描述的，“如果 Next.js 应用程序在中间件中基于路径名执行授权，那么对于直接位于应用程序根目录下的页面，这种授权就有可能被绕过。”

从本质上讲，这意味着攻击者有可能在未经授权的情况下访问存在漏洞的 Next.js 应用程序根目录下的页面，即使这些页面应该受到授权检查的保护。

考虑到 Next.js 的广泛使用，该漏洞的影响是巨大的。许多知名公司和组织的网络应用程序都依赖 Next.js，这可能会暴露敏感的用户数据和业务信息。

幸运的是，Next.js 团队已在 14.2.15 及更高版本中解决了 CVE-2024-51479 漏洞。强烈建议开发人员立即将其 Next.js 应用程序更新到最新版本。

对于使用 Vercel（创建 Next.js 的平台）的用户，无论 Next.js 版本如何，该漏洞都已被自动缓解。这为托管在 Vercel 上的应用程序提供了额外的安全保护。

Next.js团队感谢tyage负责任地披露了该漏洞，使他们能够在该漏洞被广泛利用之前解决该问题并发布补丁。