Katalog CVE

CVE-2026-44577

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.66%

Percentyl 47 - wyżej niż 47% wszystkich znanych CVE

Streszczenie

Next.js w wersjach od 10.0.0 do 15.5.16 i 16.2.5, podczas samodzielnego hostowania z domyślnym loaderem obrazów, nie ogranicza rozmiaru lokalnych zasobów pobieranych przez API optymalizacji obrazów. Atakujący może wykorzystać ten błąd, żądając dużych plików z endpointu /_next/image, co prowadzi do wyczerpania pamięci.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku typu out-of-memory, który może spowodować niedostępność aplikacji (DoS) poprzez przeciążenie serwera dużymi żądaniami obrazów.

Rekomendacja

Zaleca się natychmiastową aktualizację Next.js do wersji 15.5.16 lub 16.2.5, które zawierają poprawkę ograniczającą rozmiar pobieranych obrazów.

Oryginalny opis (angielski, źródło NVD)

Next.js is a React framework for building full-stack web applications. From 10.0.0 to before 15.5.16 and 16.2.5, when self-hosting Next.js with the default image loader, the Image Optimization API fetches local images entirely into memory without enforcing a maximum size limit. An attacker could cause out-of-memory conditions by requesting large local assets from the /_next/image endpoint that match the images.localPatterns configuration (by default, all patterns are allowed). This vulnerability is fixed in 15.5.16 and 16.2.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS