ISGroup Conseil en Cybersécurité

Contournement de l’autorisation dans Next.js via Middleware (CVE-2024-51479)

Next.js, un framework React largement utilisé, est à la base de millions d’applications dans le monde. Une nouvelle vulnérabilité divulguée (CVE-2024-51479) représente un risque grave pour la sécurité des applications utilisant les versions 9.5.5 à 14.2.14. Le défaut pourrait permettre un accès non autorisé à des données sensibles, rendant crucial pour les développeurs d’appliquer immédiatement le correctif. De plus, plus de 314 786 instances d’applications exposées ont été identifiées mondialement, ce qui accroît l’urgence de traiter cette vulnérabilité.

ProduitNext.js
Date20-12-2024 17:38:50
Informations
  • Tendance
  • Correctif disponible

Résumé technique

La vulnérabilité découle d’une vérification insuffisante des autorisations utilisateur lors de l’exécution du middleware dans les applications Next.js. Lorsque les contrôles d’autorisation reposent exclusivement sur la structure du pathname, les attaquants peuvent contourner ces contrôles pour accéder à des chemins réservés de l’application ou à des pages sensibles situées sous le répertoire racine.

Les applications concernées peuvent exposer des données critiques, contourner les contraintes de logique métier ou permettre une élévation de privilèges si la logique d’autorisation dans le middleware n’est pas robuste. L’exploitation de cette faille nécessite que les attaquants formulent des requêtes spécifiques ciblant des points de terminaison vulnérables, ce qui la rend hautement exploitable dans les applications mal configurées.

Détails clés :

Versions concernées : Next.js 9.5.5 à 14.2.14.
Impact : Accès non autorisé à des ressources sensibles.
Exploitabilité : Les attaquants distants peuvent accéder à des données confidentielles sans authentification.

Recommandations

  1. Mettre à jour le framework : mettre à jour immédiatement vers une version corrigée de Next.js (14.2.15 ou ultérieure) qui résout cette vulnérabilité. Consultez les journaux de modifications (changelogs) officiels de Next.js pour plus de détails.
  2. Évaluation du middleware : effectuer une révision approfondie de toute la logique personnalisée dans le middleware. Assurez-vous qu’il valide les autorisations explicitement et de manière sécurisée à chaque point critique.
  3. Contrôles d’accès : mettre en œuvre une défense en profondeur en ajoutant des contrôles côté serveur en complément des validations côté client ou basées sur le middleware.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *