Go back

next.js的x-middleware-subrequest高危

Table of contents

展开目录

看到一个next.js的高危。

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

隐晦(淫秽)地写着阻止x-middleware-subrequest可以缓解攻击

漏洞修复的commit https://github.com/vercel/next.js/commit/9704c8e9fcc58236349ed787903831579440a879

image

五天前的提交,cve是昨天发的。意思是在野外苦苦呆了好几天。

image

利用好像真的很容易。。。subrequest设置成true,直接就把中间的逻辑bypass了?(没有很仔细地看

这波我只能说,还是openai技高一筹,早就从nextjs换到了remix 哈哈哈哈哈。

Previous Post
路由器超时空战士竟然是我自己?关于小米的ax3000t-c
Next Post
所以ipad air m3已经从供应链管理大师变身成图片素材库管理大师了么