Vulnérabilité medium détectée - CVE-2026-44581
Next.js is a React framework for building full-stack web applications. From 13.4.0 to before 15.5.16 and 16.2.5, App Router applications that rely on ...
CVE concernées (1)
Systèmes affectés
- next.js
- vercel
Description
Next.js is a React framework for building full-stack web applications. From 13.4.0 to before 15.5.16 and 16.2.5, App Router applications that rely on CSP nonces can be vulnerable to stored cross-site scripting when deployed behind shared caches. In affected versions, malformed nonce values derived from request headers could be reflected into rendered HTML in an unsafe way, allowing an attacker to poison cached responses and cause script execution for later visitors. This vulnerability is fixed in 15.5.16 and 16.2.5.
Type de vulnérabilité
- CWE-79
Vecteur d'attaque
Complexité : HIGH
Privilèges requis : NONE
Interaction utilisateur : REQUIRED
Impact
- Confidentialité : LOW
- Intégrité : LOW
- Disponibilité : NONE
Recommandations
Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.
Recommandations de sécurité
- Appliquer immédiatement les correctifs de sécurité
- Surveiller les systèmes pour détecter toute tentative d'exploitation