vercel next.js bis 15.5.15/16.2.4 WebSocket erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.8 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung kritisch in vercel next.js bis 15.5.15/16.2.4 gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Komponente WebSocket Handler. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2026-44578 geführt. Der Angriff kann remote ausgeführt werden. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in vercel next.js bis 15.5.15/16.2.4 ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente WebSocket Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-918. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Next.js is a React framework for building full-stack web applications. From 13.4.13 to before 15.5.16 and 16.2.5, self-hosted applications using the built-in Node.js server can be vulnerable to server-side request forgery through crafted WebSocket upgrade requests. An attacker can cause the server to proxy requests to arbitrary internal or external destinations, which may expose internal services or cloud metadata endpoints. Vercel-hosted deployments are not affected. This vulnerability is fixed in 15.5.16 and 16.2.5.Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 06.05.2026 als CVE-2026-44578 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 318352 (Linux Distros Unpatched Vulnerability : CVE-2026-44578) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 15.5.16 oder 16.2.5 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (318352) und CERT Bund (WID-SEC-2026-1401) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Vercel Next.js
Produkt
Typ
Hersteller
Name
Version
- 15.5.0
- 15.5.1
- 15.5.2
- 15.5.3
- 15.5.4
- 15.5.5
- 15.5.6
- 15.5.7
- 15.5.8
- 15.5.9
- 15.5.10
- 15.5.11
- 15.5.12
- 15.5.13
- 15.5.14
- 15.5.15
- 16.2.0
- 16.2.1
- 16.2.2
- 16.2.3
- 16.2.4
Webseite
- Produkt: https://github.com/vercel/next.js/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.9VulDB Meta Temp Score: 7.8
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.6
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-918
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 318352
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-44578
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: next.js 15.5.16/16.2.5
Timeline
06.05.2026 CVE zugewiesen13.05.2026 Advisory veröffentlicht
13.05.2026 VulDB Eintrag erstellt
03.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-c4j6-fc7j-m34r
Status: Bestätigt
CVE: CVE-2026-44578 (🔒)
GCVE (CVE): GCVE-0-2026-44578
GCVE (VulDB): GCVE-100-363680
CERT Bund: WID-SEC-2026-1401 - Vercel Next.js: Mehrere Schwachstellen
Eintrag
Erstellt: 13.05.2026 20:49Aktualisierung: 03.06.2026 14:09
Anpassungen: 13.05.2026 20:49 (67), 14.05.2026 20:41 (7), 03.06.2026 14:09 (2)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.