漏洞信息
# Next.js低于9.3.2版本的目录穿越漏洞
## 漏洞概述
Next.js 版本在 9.3.2 之前的版本中存在一个目录遍历漏洞。攻击者可以构造特殊请求来访问 dist 目录(.next)中的文件。此外,此漏洞不影响 dist 目录以外的文件。
## 影响版本
- Next.js 版本 9.3.2 之前的版本
## 漏洞细节
攻击者可以通过构造特定的请求来访问 `.next` 目录中的文件。通常,`.next` 目录仅包含构建资产,除非你的应用有意将其他资源存储在该目录下。
## 影响
此漏洞允许攻击者访问 `.next` 目录中的文件,但不会影响 `.next` 目录以外的文件。此问题已在版本 9.3.2 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Directory Traversal in Next.js versions below 9.3.2
漏洞描述信息
Next.js versions before 9.3.2 have a directory traversal vulnerability. Attackers could craft special requests to access files in the dist directory (.next). This does not affect files outside of the dist directory (.next). In general, the dist directory only holds build assets unless your application intentionally stores other assets under this directory. This issue is fixed in version 9.3.2.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
相对路径遍历
漏洞标题
ZEIT Next.js 路径遍历漏洞
漏洞描述信息
ZEIT Next.js是ZEIT公司的一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用框架。 ZEIT Next.js 9.3.2之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
CVSS信息
N/A
漏洞类别
路径遍历