Το NCSC προτρέπει σε άμεση επιδιόρθωση της ευπάθειας Next.js
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το NCSC προτρέπει σε άμεση επιδιόρθωση της ευπάθειας Next.js
https://www.secnews.gr/644872/ncsc-protrepei-amesi-epidiorthosi-sfalmatos-next-js/
Mar 31st 2025, 14:08
by Absenta Mia
Η κορυφαία υπηρεσία κυβερνοασφάλειας του Ηνωμένου Βασιλείου προέτρεψε τους χρήστες του Next.js, ενός δημοφιλούς ανοιχτού πηγαίου πλαισίου ανάπτυξης ιστοσελίδων, να διορθώσουν άμεσα μια κρίσιμη ευπάθεια.
Δείτε επίσης: Το NCSC εκδίδει Οδηγίες για την Προστασία της Έρευνας και της Καινοτομίας
Το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) προειδοποίησε σε ανάρτησή του την Παρασκευή για μια ευπάθεια παράκαμψης εξουσιοδότησης που εντοπίζεται στο Next.js, ένα πλαίσιο βασισμένο στο React που χρησιμοποιείται για την ανάπτυξη πλήρους στοίβας διαδικτυακών εφαρμογών παγκοσμίως.
Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια στέλνοντας ένα εξωτερικό αίτημα στο σύστημα, το οποίο το σύστημα θα θεωρήσει ως εσωτερικό αίτημα, παρακάμπτοντας τους ελέγχους εξουσιοδότησης και παρέχοντας μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα, εξήγησε.
"Αποδείξεις PoC για αυτήν την ευπάθεια είναι ευρέως και δωρεάν διαθέσιμες."
Η ευπάθεια CVE-2025-29927 διορθώθηκε από τους διαχειριστές του Next.js στις 22 Μαρτίου, μετά από υπεύθυνη και ιδιωτική αναφορά στην ομάδα τον Φεβρουάριο.
Το Next.js χρησιμοποιεί μία εσωτερικη επικεφαλίδα x-middleware-subrequest για να αποτρέψει τις αναδρομικές αιτήσεις από το να προκαλούν άπειρους βρόχους, όπως εξηγήθηκε.
Δείτε ακόμα: NCSC: Η τεχνητή νοημοσύνη (AI) θα αυξήσει τις ransomware επιθέσεις
"Η έκθεση ασφαλείας αποκάλυψε ότι ήταν δυνατό να παρακαμφθεί η εκτέλεση του middleware, γεγονός που θα μπορούσε να επιτρέψει στις αιτήσεις να παρακάμψουν κρίσιμους ελέγχους – όπως η επικύρωση των cookies εξουσιοδότησης – πριν φτάσουν στις διαδρομές."
Η ευπάθεια του πλαισίου Next.js επηρεάζει όλες τις εκδόσεις 13.x πριν από την 13.5.9, όλες τις εκδόσεις 14.x πριν από την 14.2.25, όλες τις εκδόσεις 15.x πριν από την 15.2.3, καθώς και όλες τις εκδόσεις από την 11.1.4 έως, αλλά όχι συμπεριλαμβανομένης, την 12.3.5.
Η NCSC δήλωσε ότι "εάν η αναβάθμιση σε μια σταθερή έκδοση δεν είναι εφικτή, ο προμηθευτής έχει προτείνει να αποκλειστούν τα αιτήματα εξωτερικών χρηστών που περιέχουν την κεφαλίδα 'x-middleware-subrequest' από την πρόσβαση στην εφαρμογή Next.js σας."
Η υπηρεσία προέτρεψε επίσης τους οργανισμούς να παρακολουθούν τα αρχεία καταγραφής για πιθανές επιθέσεις.
Η Rapid7 εξήγησε ότι, λόγω του ότι το CVE που αναφέρεται επηρεάζει το πλαίσιο εφαρμογών Next.js και οι ρυθμίσεις του μεσαίου λογισμικού μπορεί να διαφέρουν, έτσι διαφέρει και η πιθανή επίδραση της ευπάθειας.
Δείτε επίσης: Ελβετία: Οι κρίσιμες υποδομές πρέπει να αναφέρουν τις κυβερνοεπιθέσεις
Ένα πλαίσιο ανάπτυξης ανοιχτού κώδικα είναι ένα σύνολο προκατασκευασμένων εργαλείων, βιβλιοθηκών και στοιχείων που χρησιμοποιούν οι προγραμματιστές για τη δημιουργία εφαρμογών Ιστού. Η βασική πτυχή αυτών των πλαισίων είναι ότι είναι ανοιχτού κώδικα, που σημαίνει ότι ο πηγαίος κώδικάς τους είναι ελεύθερα διαθέσιμος για χρήση, τροποποίηση και διανομή από οποιονδήποτε. Αυτά τα πλαίσια παρέχουν συνήθως μια δομή ή σχέδιο για τον εξορθολογισμό της διαδικασίας ανάπτυξης, μειώνοντας την ανάγκη δημιουργίας κοινών χαρακτηριστικών από την αρχή και προσφέροντας βέλτιστες πρακτικές και μοτίβα για να διασφαλιστεί μια πιο αποτελεσματική, διατηρήσιμη και κλιμακούμενη βάση κώδικα.
Πηγή: infosecurity-magazine
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το NCSC προτρέπει σε άμεση επιδιόρθωση της ευπάθειας Next.js
https://www.secnews.gr/644872/ncsc-protrepei-amesi-epidiorthosi-sfalmatos-next-js/
Mar 31st 2025, 14:08
by Absenta Mia
Η κορυφαία υπηρεσία κυβερνοασφάλειας του Ηνωμένου Βασιλείου προέτρεψε τους χρήστες του Next.js, ενός δημοφιλούς ανοιχτού πηγαίου πλαισίου ανάπτυξης ιστοσελίδων, να διορθώσουν άμεσα μια κρίσιμη ευπάθεια.
Δείτε επίσης: Το NCSC εκδίδει Οδηγίες για την Προστασία της Έρευνας και της Καινοτομίας
Το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) προειδοποίησε σε ανάρτησή του την Παρασκευή για μια ευπάθεια παράκαμψης εξουσιοδότησης που εντοπίζεται στο Next.js, ένα πλαίσιο βασισμένο στο React που χρησιμοποιείται για την ανάπτυξη πλήρους στοίβας διαδικτυακών εφαρμογών παγκοσμίως.
Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια στέλνοντας ένα εξωτερικό αίτημα στο σύστημα, το οποίο το σύστημα θα θεωρήσει ως εσωτερικό αίτημα, παρακάμπτοντας τους ελέγχους εξουσιοδότησης και παρέχοντας μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα, εξήγησε.
"Αποδείξεις PoC για αυτήν την ευπάθεια είναι ευρέως και δωρεάν διαθέσιμες."
Η ευπάθεια CVE-2025-29927 διορθώθηκε από τους διαχειριστές του Next.js στις 22 Μαρτίου, μετά από υπεύθυνη και ιδιωτική αναφορά στην ομάδα τον Φεβρουάριο.
Το Next.js χρησιμοποιεί μία εσωτερικη επικεφαλίδα x-middleware-subrequest για να αποτρέψει τις αναδρομικές αιτήσεις από το να προκαλούν άπειρους βρόχους, όπως εξηγήθηκε.
Δείτε ακόμα: NCSC: Η τεχνητή νοημοσύνη (AI) θα αυξήσει τις ransomware επιθέσεις
"Η έκθεση ασφαλείας αποκάλυψε ότι ήταν δυνατό να παρακαμφθεί η εκτέλεση του middleware, γεγονός που θα μπορούσε να επιτρέψει στις αιτήσεις να παρακάμψουν κρίσιμους ελέγχους – όπως η επικύρωση των cookies εξουσιοδότησης – πριν φτάσουν στις διαδρομές."
Η ευπάθεια του πλαισίου Next.js επηρεάζει όλες τις εκδόσεις 13.x πριν από την 13.5.9, όλες τις εκδόσεις 14.x πριν από την 14.2.25, όλες τις εκδόσεις 15.x πριν από την 15.2.3, καθώς και όλες τις εκδόσεις από την 11.1.4 έως, αλλά όχι συμπεριλαμβανομένης, την 12.3.5.
Η NCSC δήλωσε ότι "εάν η αναβάθμιση σε μια σταθερή έκδοση δεν είναι εφικτή, ο προμηθευτής έχει προτείνει να αποκλειστούν τα αιτήματα εξωτερικών χρηστών που περιέχουν την κεφαλίδα 'x-middleware-subrequest' από την πρόσβαση στην εφαρμογή Next.js σας."
Η υπηρεσία προέτρεψε επίσης τους οργανισμούς να παρακολουθούν τα αρχεία καταγραφής για πιθανές επιθέσεις.
Η Rapid7 εξήγησε ότι, λόγω του ότι το CVE που αναφέρεται επηρεάζει το πλαίσιο εφαρμογών Next.js και οι ρυθμίσεις του μεσαίου λογισμικού μπορεί να διαφέρουν, έτσι διαφέρει και η πιθανή επίδραση της ευπάθειας.
Δείτε επίσης: Ελβετία: Οι κρίσιμες υποδομές πρέπει να αναφέρουν τις κυβερνοεπιθέσεις
Ένα πλαίσιο ανάπτυξης ανοιχτού κώδικα είναι ένα σύνολο προκατασκευασμένων εργαλείων, βιβλιοθηκών και στοιχείων που χρησιμοποιούν οι προγραμματιστές για τη δημιουργία εφαρμογών Ιστού. Η βασική πτυχή αυτών των πλαισίων είναι ότι είναι ανοιχτού κώδικα, που σημαίνει ότι ο πηγαίος κώδικάς τους είναι ελεύθερα διαθέσιμος για χρήση, τροποποίηση και διανομή από οποιονδήποτε. Αυτά τα πλαίσια παρέχουν συνήθως μια δομή ή σχέδιο για τον εξορθολογισμό της διαδικασίας ανάπτυξης, μειώνοντας την ανάγκη δημιουργίας κοινών χαρακτηριστικών από την αρχή και προσφέροντας βέλτιστες πρακτικές και μοτίβα για να διασφαλιστεί μια πιο αποτελεσματική, διατηρήσιμη και κλιμακούμενη βάση κώδικα.
Πηγή: infosecurity-magazine
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια