CVE-2026-44578 in next.jsinformation

Résumé

par VulDB • 15/05/2026

Next.js est un framework React pour la création d'applications web full-stack. À partir de la version 13.4.13 jusqu'à la version 15.5.15 (exclue) et la version 16.2.4 (exclue), les applications auto-hébergées utilisant le serveur Node.js intégré peuvent être vulnérables à une attaque de falsification de requêtes côté serveur (SSRF) via des requêtes de mise à niveau WebSocket manipulées. Un attaquant peut amener le serveur à proxyfier des requêtes vers des destinations internes ou externes arbitraires, ce qui peut exposer des services internes ou des points de terminaison de métadonnées cloud. Les déploiements hébergés par Vercel ne sont pas affectés. Cette vulnérabilité est corrigée dans les versions 15.5.16 et 16.2.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363680

CPE

prêt

EPSS

0.05810

KEV

non

Activités

faible

Secteur

Hostingprovider, Insurance, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44578
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44578
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44578/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!