发布日期：2021-08-30
更新日期：2021-10-11

受影响系统：

ZEIT Next.js >= 10.0.0
ZEIT Next.js < 11.1.1

描述：

---

CVE(CAN) ID: CVE-2021-39178

ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。
ZEIT Next.js 10.0.0-11.1.1之间版本存在跨站脚本漏洞。该漏洞源于程序在Image Optimization API中未对用户提供的数据进行充分过滤。远程攻击者可利用该漏洞诱骗受害者访问特制链接，并在浏览器中执行任意HTML和脚本代码。

<**>

建议：

---

厂商补丁：

ZEIT
----
目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：

https://github.com/vercel/next.js/security/advisories/GHSA-9gr3-7897-pp7m

浏览次数：949
严重程度：0（网友投票）