블로그에서 next.js를 주로 다루고 있기도 하고, 조금이라도 이슈를 더 알리고 싶어 글을 작성하게 되었다.
관련 링크: https://github.com/vercel/next.js/security/advisories/GHSA-fr5h-rqp8-mj6g
Server-Side Request Forgery in Server Actions
### Impact A Server-Side Request Forgery (SSRF) vulnerability was identified in Next.js Server Actions by security researchers at Assetnote. If the `Host` header is modified, and the below conditi...
github.com
관련 커밋: https://github.com/vercel/next.js/pull/62561
Improve redirection handling by shuding · Pull Request #62561 · vercel/next.js
Currently to redirect to another RSC route of the same app, we initiate another request to that route. This PR changes that request to directly use the internal hostname of the current server handl...
github.com
요약
전제 조건
- next.js 버전이 14.1.1 미만
- 자체 호스팅 (vercel과 같은 관리형 호스팅 서비스 x)
- server action에서 상대 경로로 리다이렉션을 수행함
server action을 사용하고 있고 위 전제 조건들을 만족한다면 해커가 서버 내부에서 발생한 것처럼 보이는 요청을 만들 수 있다고 한다.
해결 방법
next.js를 14.1.1+로 업그레이드
'front-end > next.js' 카테고리의 다른 글
| Next.js 15 RC 발표 (0) | 2024.05.24 |
|---|---|
| React Query v5 with Next.js (0) | 2023.11.21 |
| Next.js 14 소개 (0) | 2023.10.30 |
| Server Components 활용하는 방법 (0) | 2023.10.12 |
| Next.js 13.5 (2) | 2023.10.11 |
