CVE-2026-44572 in next.jsالمعلومات

الملخص

بحسب VulDB • 23/05/2026

Next.js هو إطار عمل React لتطبيقات الويب ذات الطبقات الكاملة. من الإصدار 12.2.0 وحتى قبل 15.5.16، ومن الإصدار 16.2.5، يمكن لعميل خارجي إرسال رأس `x-nextjs-data` ضمن طلب عادي إلى مسار يتم معالجته بواسطة وسيط (middleware) يقوم بإعادة التوجيه. عند حدوث ذلك، قد يعامل الوسيط/الوكيل (proxy) الطلب على أنه طلب بيانات، ويستبدل رأس إعادة التوجيه القياسي `Location` برأس `x-nextjs-redirect` الداخلي. بما أن المتصفحات لا تتبع رأس `x-nextjs-redirect`، فإن الاستجابة تصبح إعادة توجيه غير صالحة للاستخدام من قبل العملاء العاديين. إذا تم نشر التطبيق خلف شبكة توصيل محتوى (CDN) أو وكيل عكسي يقوم بتخزين استجابات 3xx مؤقتاً دون مراعاة هذا الرأس، فقد يؤدي طلب مهاجم واحد إلى تسميم الاستجابة المؤقتة المعاد توجيهها للمسار المتأثر. يمكن بعد ذلك للزوار اللاحقين تلقي استجابة إعادة توجيه مؤقتة بدون رأس `Location`، مما يتسبب في حجب الخدمة (DoS) لذلك مسار إعادة التوجيه حتى تنتهي صلاحية عنصر التخزين المؤقت أو يتم حذفه. تم إصلاح هذا الثغرة في الإصدارين 15.5.16 و 16.2.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363639

EPSS

0.00008

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Insurance, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44572
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44572
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44572/

التالي نظرة عامة السابق

Interested in the pricing of exploits?

See the underground prices here!