Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-16415

Опубликовано: 03 июл. 2025
Источник: fstec
CVSS3: 3.7
CVSS2: 2.6
EPSS Низкий

Описание

Уязвимость маршрутизатора App Router программной платформы создания веб-приложений Next.js и интерфейса командной строки (CLI) платформы Vercel связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации

Вендор

Vercel

Наименование ПО

Next.js
Vercel CLI

Версия ПО

от 15.3.0 до 15.3.3 (Next.js)
от 41.4.1 до 42.2.0 (Vercel CLI)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Next.js:
https://github.com/vercel/next.js/releases/tag/v15.3.3
Для Vercel CLI:
https://www.npmjs.com/package/vercel/v/44.2.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00061
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-49005

CVSS3: 3.7
redhat
7 месяцев назад

Next.js is a React framework for building full-stack web applications. In Next.js App Router from 15.3.0 to before 15.3.3 and Vercel CLI from 41.4.1 to 42.2.0, a cache poisoning vulnerability was found. The issue allowed page requests for HTML content to return a React Server Component (RSC) payload instead under certain conditions. When deployed to Vercel, this would only impact the browser cache, and would not lead to the CDN being poisoned. When self-hosted and deployed externally, this could lead to cache poisoning if the CDN does not properly distinguish between RSC / HTML in the cache keys. This issue has been resolved in Next.js 15.3.3.

nvd логотип

CVE-2025-49005

CVSS3: 3.7
nvd
7 месяцев назад

Next.js is a React framework for building full-stack web applications. In Next.js App Router from 15.3.0 to before 15.3.3 and Vercel CLI from 41.4.1 to 42.2.0, a cache poisoning vulnerability was found. The issue allowed page requests for HTML content to return a React Server Component (RSC) payload instead under certain conditions. When deployed to Vercel, this would only impact the browser cache, and would not lead to the CDN being poisoned. When self-hosted and deployed externally, this could lead to cache poisoning if the CDN does not properly distinguish between RSC / HTML in the cache keys. This issue has been resolved in Next.js 15.3.3.

github логотип

GHSA-r2fc-ccr8-96c4

CVSS3: 3.7
github
7 месяцев назад

Next.js has a Cache poisoning vulnerability due to omission of the Vary header

EPSS

Процентиль: 19%
0.00061
Низкий

3.7 Low

CVSS3

2.6 Low

CVSS2