一、 漏洞 CVE-2025-57752 基础信息
漏洞信息
                                        # Next.js 图片优化缓存键冲突漏洞

## 概述

Next.js 是一个基于 React 的全栈 Web 应用开发框架。在特定版本中,其图像优化 API 路由存在缓存键混淆漏洞。

## 影响版本

- 在 14.2.31 之前版本
- 15.0.0 至 15.4.5 之前版本

## 漏洞细节

当通过 API 路由返回的图像内容依赖于请求头(如 `Cookie` 或 `Authorization`)时,Next.js 的图像优化功能可能因缓存键混淆错误,将错误响应缓存并返回给未授权用户。

## 影响

此漏洞可能导致敏感图像内容被泄露给不应访问的用户,造成信息泄露风险。

## 修复版本

该问题已在 Next.js **14.2.31** 和 **15.4.5** 中修复,建议使用受影响版本且通过 API 路由结合请求头返回图像的用户立即升级。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Next.js Affected by Cache Key Confusion for Image Optimization API Routes
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Next.js is a React framework for building full-stack web applications. In versions before 14.2.31 and from 15.0.0 to before 15.4.5, Next.js Image Optimization API routes are affected by cache key confusion. When images returned from API routes vary based on request headers (such as Cookie or Authorization), these responses could be incorrectly cached and served to unauthorized users due to a cache key confusion bug. This vulnerability has been fixed in Next.js versions 14.2.31 and 15.4.5. All users are encouraged to upgrade if they use API routes to serve images that depend on request headers and have image optimization enabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过缓存导致的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Next.js 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Next.js是Vercel开源的一个 React 框架。 Next.js 14.2.31之前版本和15.0.0至15.4.5之前版本存在安全漏洞,该漏洞源于缓存键混淆,可能导致未经授权的用户访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-57752 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-57752 的情报信息

  • 标题: CVE-2025-57752 - Vercel -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    CVE-2025-57752 - Vercel

  • 标题: fix(next/image): fix image-optimizer.ts headers by styfle · Pull Request #82114 · vercel/next.js · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix(next/image): fix image-optimizer.ts headers by styfle · Pull Request #82114 · vercel/next.js · GitHub

  • 标题: Cache Key Confusion for Image Optimization API Routes · Advisory · vercel/next.js · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Cache Key Confusion for Image Optimization API Routes · Advisory · vercel/next.js · GitHub

  • 标题: fix(next/image): fix image-optimizer.ts headers (#82114) · vercel/next.js@6b12c60 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix(next/image): fix image-optimizer.ts headers (#82114) · vercel/next.js@6b12c60 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-57752
四、漏洞 CVE-2025-57752 的评论

暂无评论

发表评论