CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework
2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。
CVE-2024-34350:HTTP リクエスト・スマグリングに注意
脆弱性 CVE-2024-34350 (CVSS:7.5) は、Next.js における HTTP リクエストの一貫性のない解釈に起因している。この不整合により、レスポンスが非同期化され、レスポンスキュー・ポイズニングの可能性が生じている。この問題は、特に Next.js のリライト機能を使用するルートに影響を及ぼす。この問題の発見者として、セキュリティ研究者 “elifoster-block” の名前がクレジットされている。
CVE-2024-34351:サーバ・サイド・リクエスト・フォージェリのリスク
Assetnote の研究者が発見した脆弱性 CVE-2024-34351 (CVSS:7.5) は、Server Actions を利用するセルフホスト型の Next.js インスタンスから、偽造リクエストをさせる可能性を、攻撃者に与えるものである。
この脆弱性は、特定の条件下で Host ヘッダーが変更された場合に発生し、Next.js アプリケーション・サーバからの発信を装う不正リクエストを、攻撃者に発信させる可能性が生じる。この欠陥は、セルフホスト環境で動作し、Server Actions を使用しているアプリケーションにおいて、特にアクションに “/” で始まる相対パスへのリダイレクトが含まれる場合において、特に危険である。この脆弱性の発見者は、Adam Kues と Shubham Shah氏 であり、脆弱性の詳細な分析を発表している。
自己防衛 – パッチの説明
幸いなことに、すでに Next.js は、これらの問題に迅速に対処している。
- CVE-2024-34350: Next.js 13.5.1 以降 (14.x を含む) でパッチ適用。
- CVE-2024-34351:Next.js バージョン 14.1.1 で修正。
推奨事項
直ちにアップグレード: Web アプリケーションにおいて、Next.js を使用している場合には、パッチが適用されたバージョンへのアップグレードを最優先してほしい。
回避策は存在しない: 残念なことに、いずれの脆弱性においても、公式な回避策は存在しない。
セルフホストの場合;Next.js インスタンスをセルフホストで管理している場合には、脆弱性 CVE-2024-34351 に対するパッチ適用に特に注意してほしい。ホストされている特定のプラットフォームでは、脆弱性が存在しない場合もある。
4月の Spring Framework と Laravel だけではなく、5月に入ってからは Qt Framework と Spin Framework というふうに、このところ、フレームワークの脆弱性が、あちらこちらで公表されています。単なる偶然なのか、それとも上流の脆弱性に敏感になってきたからなのか、そのあたりは分かりませんが、こうしてバグが潰されていくのは、とても良い展開だと思います。よろしければ、Framework で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.