CVE-2026-44572
NiskieStreszczenie
Next.js to framework React do budowania aplikacji webowych typu full-stack. W wersjach od 12.2.0 do przed 15.5.16 oraz 16.2.5, zewnętrzny klient mógł wysłać nagłówek x-nextjs-data w normalnym żądaniu do ścieżki obsługiwanej przez middleware, która zwracała przekierowanie.
Ocena ryzyka
Istnieje ryzyko, że złośliwy klient może wykorzystać tę podatność do manipulacji zachowaniem aplikacji, co może prowadzić do nieautoryzowanego dostępu lub nieprzewidzianych przekierowań.
Rekomendacja
Zaleca się aktualizację Next.js do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów aplikacji w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2.5, an external client could send a x-nextjs-data header on a normal request to a path handled by middleware that returns a redirect. When that happened, the middleware/proxy could treat the

