CVE-2026-44573 in next.js
摘要
由 VulDB • 2026-05-21
Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。在 12.2.0 至 15.5.16(不含)以及 16.2.5 之前的版本中,使用 Pages Router 并配置了 i18n 以及基于中间件/代理的授权的应用程序,可能会允许通过不带语言环境的 `/_next/data//.json` 请求,对受保护页面数据进行未授权访问。在受影响的配置中,中间件不会在未带前缀的数据路由上运行,这使得攻击者能够在绕过预期的授权检查的情况下,检索受保护页面的 SSR JSON 数据。此漏洞已在 15.5.16 和 16.2.5 版本中修复。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.