安全研究

安全漏洞
Next.js服务器端请求伪造漏洞(CVE-2025-57822)

发布日期:2025-08-29
更新日期:2026-06-01

受影响系统:
Next.js Next.js < 15.4.7
Next.js Next.js < 14.2.32
描述:
CVE(CAN) ID: CVE-2025-57822

Next.js是Vercel开源的一个React框架。
Next.js 14.2.31之前版本和15.4.7之前版本存在服务器端请求伪造漏洞,该漏洞源于程序不显式传递请求对象且未正确转发用户标头,攻击者可利用该漏洞在自托管环境中实现自定义中间件逻辑并实施服务器端请求伪造攻击。

<**>

建议:
厂商补丁:

Next.js
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://vercel.com/changelog/cve-2025-57822

浏览次数:101
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障