Количество 86
Количество 86
CVE-2018-18282
Next.js 7.0.0 and 7.0.1 has XSS via the 404 or 500 /_error page.
CVE-2017-16877
ZEIT Next.js before 2.4.1 has directory traversal under the /_next and /static request namespace, allowing attackers to obtain sensitive information.
BDU:2025-16414
Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2025-03883
Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-03185
Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2025-00538
Уязвимость программной платформы создания веб-приложений Next.js, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-11376
Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности
BDU:2024-08508
Уязвимость программной платформы создания веб-приложений Next.js, связанная с неконтролируемой рекурсией. позволяющая нарушителю вызывать отказ в обслуживании
BDU:2024-07780
Уязвимость программной платформы создания веб-приложений Next.js, связанная с обходом авторизации посредством использования ключа, контролируемого пользователем, позволяющая нарушителю раскрыть защищаемую информацию
GHSA-wff4-fpwg-qqv3
Unexpected server crash in Next.js
GHSA-r2fc-ccr8-96c4
Next.js has a Cache poisoning vulnerability due to omission of the Vary header
GHSA-fv66-9v8q-g76r
React Server Components are Vulnerable to RCE
GHSA-925w-6v3x-g4j4
Source Code Exposure Vulnerability in React Server Components
GHSA-7gmr-mq3h-m5h9
Denial of Service Vulnerability in React Server Components
GHSA-2m3v-v2m8-q956
Denial of Service Vulnerability in React Server Components
GHSA-25mp-g6fv-mqxx
Unexpected server crash in Next.js.
CVE-2025-67779
It was found that the fix addressing CVE-2025-55184 in React Server Components was incomplete and does not prevent a denial of service attack in a specific case. React Server Components versions 19.0.2, 19.1.3 and 19.2.2 are affected, allowing unsafe deserialization of payloads from HTTP requests to Server Function endpoints. This can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.
CVE-2025-55184
A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served.
CVE-2025-55183
An information leak vulnerability exists in specific configurations of React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. A specifically crafted HTTP request sent to a vulnerable Server Function may unsafely return the source code of any Server Function. Exploitation requires the existence of a Server Function which explicitly or implicitly exposes a stringified argument.
CVE-2025-55182
A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.
Уязвимостей на страницу
Уязвимость | CVSS | EPSS | Опубликовано | |
|---|---|---|---|---|
 | CVE-2018-18282 Next.js 7.0.0 and 7.0.1 has XSS via the 404 or 500 /_error page. | CVSS3: 6.1 | 0% Низкий | больше 7 лет назад |
| CVE-2017-16877 ZEIT Next.js before 2.4.1 has directory traversal under the /_next and /static request namespace, allowing attackers to obtain sensitive information. | CVSS3: 7.5 | 83% Высокий | около 8 лет назад |
 | BDU:2025-16414 Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 7.5 | 0% Низкий | 7 месяцев назад |
| BDU:2025-03883 Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации | CVSS3: 3.7 | 0% Низкий | 11 месяцев назад |
| BDU:2025-03185 Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности | CVSS3: 9.1 | 93% Критический | 11 месяцев назад |
| BDU:2025-00538 Уязвимость программной платформы создания веб-приложений Next.js, связанная с неограниченным распределением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании | CVSS3: 5.3 | 1% Низкий | около 1 года назад |
| BDU:2024-11376 Уязвимость программной платформы создания веб-приложений Next.js, связанная с недостатками процедуры авторизации, позволяющая нарушителю обойти ограничения безопасности | CVSS3: 7.5 | 67% Средний | больше 1 года назад |
| BDU:2024-08508 Уязвимость программной платформы создания веб-приложений Next.js, связанная с неконтролируемой рекурсией. позволяющая нарушителю вызывать отказ в обслуживании | CVSS3: 5.9 | 0% Низкий | больше 1 года назад |
| BDU:2024-07780 Уязвимость программной платформы создания веб-приложений Next.js, связанная с обходом авторизации посредством использования ключа, контролируемого пользователем, позволяющая нарушителю раскрыть защищаемую информацию | CVSS3: 7.5 | 49% Средний | больше 1 года назад |
| GHSA-wff4-fpwg-qqv3 Unexpected server crash in Next.js | CVSS3: 5.3 | 0% Низкий | больше 3 лет назад |
| GHSA-r2fc-ccr8-96c4 Next.js has a Cache poisoning vulnerability due to omission of the Vary header | CVSS3: 3.7 | 0% Низкий | 7 месяцев назад |
| GHSA-fv66-9v8q-g76r React Server Components are Vulnerable to RCE | CVSS3: 10 | 58% Средний | 2 месяца назад |
| GHSA-925w-6v3x-g4j4 Source Code Exposure Vulnerability in React Server Components | CVSS3: 5.3 | 22% Средний | 2 месяца назад |
| GHSA-7gmr-mq3h-m5h9 Denial of Service Vulnerability in React Server Components | CVSS3: 7.5 | 0% Низкий | около 2 месяцев назад |
| GHSA-2m3v-v2m8-q956 Denial of Service Vulnerability in React Server Components | CVSS3: 7.5 | 19% Средний | 2 месяца назад |
| GHSA-25mp-g6fv-mqxx Unexpected server crash in Next.js. | CVSS3: 7.5 | 3% Низкий | около 4 лет назад |
| CVE-2025-67779 It was found that the fix addressing CVE-2025-55184 in React Server Components was incomplete and does not prevent a denial of service attack in a specific case. React Server Components versions 19.0.2, 19.1.3 and 19.2.2 are affected, allowing unsafe deserialization of payloads from HTTP requests to Server Function endpoints. This can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served. | CVSS3: 7.5 | 0% Низкий | около 2 месяцев назад |
| CVE-2025-55184 A pre-authentication denial of service vulnerability exists in React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints, which can cause an infinite loop that hangs the server process and may prevent future HTTP requests from being served. | CVSS3: 7.5 | 19% Средний | 2 месяца назад |
| CVE-2025-55183 An information leak vulnerability exists in specific configurations of React Server Components versions 19.0.0, 19.0.1 19.1.0, 19.1.1, 19.1.2, 19.2.0 and 19.2.1, including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. A specifically crafted HTTP request sent to a vulnerable Server Function may unsafely return the source code of any Server Function. Exploitation requires the existence of a Server Function which explicitly or implicitly exposes a stringified argument. | CVSS3: 5.3 | 22% Средний | 2 месяца назад |
| CVE-2025-55182 A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints. | CVSS3: 10 | 58% Средний | 2 месяца назад |
Уязвимостей на страницу