CVE-2026-44573 in next.jsinformation

Résumé

par VulDB • 13/05/2026

Next.js est un framework React pour la création d'applications web full-stack. À partir de la version 12.2.0 jusqu'à la version 15.5.15 (exclue) et avant la version 16.2.5, les applications utilisant le Pages Router avec la configuration i18n et une autorisation basée sur des middleware/proxies peuvent permettre un accès non autorisé aux données des pages protégées via des requêtes /_next/data//.json sans locale. Dans les configurations concernées, le middleware ne s'exécute pas pour le chemin de données non préfixé, permettant à un attaquant de récupérer le JSON SSR des pages protégées sans passer les contrôles d'autorisation prévus. Cette vulnérabilité est corrigée dans les versions 15.5.16 et 16.2.5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363655

CPE

prêt

EPSS

0.00052

KEV

non

Activités

très faible

Secteur

Finance, Hostingprovider, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44573
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44573
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44573/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!