CVE-2024-34351 — 神龙十问 AI 深度分析摘要
CVSS 7.5 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Next.js 内置图片优化组件存在 **SSRF (服务器端请求伪造)** 漏洞。 💥 **后果**:攻击者可利用服务器身份发起任意请求,**泄露敏感数据**或探测内网。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-918 (SSRF)。 🐛 **缺陷点**:未对用户控制的 URL 进行充分验证,导致服务器被诱导访问非预期资源。
Q3影响谁?(版本/组件)
📦 **厂商**:Vercel。 📌 **产品**:Next.js。 ⚠️ **版本**:**13.4** 至 **14.1.1 之前** (如 14.1.0)。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 获取**任意网站内容**。 2. 扫描**内网服务**。 3. 利用服务器权限进行进一步攻击。 📊 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N (高危,仅影响机密性)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**低**。 ✅ **无需认证** (PR:N)。 ✅ **无需用户交互** (UI:N)。 ✅ **攻击复杂度低** (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **有现成 Exp**! 🔗 GitHub 上已有多个 PoC (如 `Voorivex/CVE-2024-34351`, `God4n/nextjs-CVE-2024-34351-_exploit`)。 🛠️ 支持完整利用:获取任意网页内容。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 `package.json` 中 `next` 版本是否 < 14.1.1。 2. 使用 Nuclei 模板扫描:`CVE-2024-34351.yaml`。 3. 使用 ESLint 插件检测潜在风险代码。
Q8官方修了吗?(补丁/缓解)
🛡️ **已修复**! ✅ **补丁版本**:**next@14.1.1** 及更高版本。 📝 官方已发布安全公告 (GHSA-fr5h-rqp8-mj6g) 并合并修复代码。
Q9没补丁咋办?(临时规避)
⏳ **临时规避**: 1. **立即升级**至 14.1.1+ 是最优解。 2. 若无法升级,限制图片优化组件的访问权限。 3. 在 WAF/防火墙层拦截异常的 SSRF 请求特征。
Q10急不急?(优先级建议)
🔥 **优先级**:**高 (Urgent)**。 💡 **理由**:无需认证、利用简单、已有公开 Exp、影响机密性 (C:H)。建议**立即升级**或实施缓解措施。