CVE-2026-44572
LowSummary
Next.js to framework React do budowania aplikacji webowych typu full-stack. W wersjach od 12.2.0 do przed 15.5.16 oraz 16.2.5, zewnętrzny klient mógł wysłać nagłówek x-nextjs-data w normalnym żądaniu do ścieżki obsługiwanej przez middleware, która zwracała przekierowanie.
Risk Assessment
Istnieje ryzyko, że złośliwy klient może wykorzystać tę podatność do manipulacji zachowaniem aplikacji, co może prowadzić do nieautoryzowanego dostępu lub nieprzewidzianych przekierowań.
Recommendation
Zaleca się aktualizację Next.js do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów aplikacji w celu wykrycia potencjalnych prób wykorzystania tej luki.
Original NVD description (English source)
Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2.5, an external client could send a x-nextjs-data header on a normal request to a path handled by middleware that returns a redirect. When that happened, the middleware/proxy could treat the

