Kritische Next.js-Schwachstelle gefährdet Cloud-Zugangsdaten, API-Schlüssel und Admin-Oberflächen

Next.js-Lücke enthüllt Zugangsdaten Die Schwachstelle, die als CVE-2026-44578 geführt wird, ergibt sich aus der Art und Weise, wie der integrierte Next.js-Node.js-Server WebSocket-Upgrade-Anfragen verarbeitet. Angreifer können speziell angefertigte WebSocket-Anfragen senden, die den Server dazu verleiten, als Proxy zu fungieren.

Dies zwingt den Server dazu, bösartige Anfragen an beliebige interne oder externe Ziele weiterzuleiten. Da der Server selbst die Anfrage ausführt, umgeht er externe Firewalls. Angreifer können diese vertrauenswürdige Position nutzen, um interne Netzwerkdienste abzufragen, ungeschützte Admin-Dashboards zu erreichen oder Cloud-Metadata-Endpunkte aufzurufen.

Cloud-Metadata-Endpunkte sind besonders attraktive Ziele, da sie oft temporäre IAM-Credentials, API-Tokens und Bereitstellungsgeheimnisse speichern. Diese SSRF-Schwachstelle betrifft ausschließlich selbst gehostete Next.js-Anwendungen, die den Standard-Node.js-Server verwenden. Wenn Ihre Anwendung auf Vercel läuft, bleiben Sie vollständig vor diesem Angriffsszenario geschützt.

Die Vercel-Infrastruktur setzt die anfällige WebSocket-Routing-Implementierung nicht ein. Wenn Sie Ihre eigene Infrastruktur verwalten, müssen Sie Ihre Next.js-Version überprüfen. Die Schwachstelle betrifft zwei unterschiedliche Release-Tracks im Next.js-Ökosystem. Das Next.js-Sicherheitsteam hat Sicherheitspatches veröffentlicht, die strenge Sicherheitsprüfungen für die WebSocket-Upgrade-Verarbeitung einführen.

Der Server proxyt Upgrade-Anfragen nun nur noch, wenn die Routing-Konfiguration sie explizit als sichere externe Umleitungen kennzeichnet. Tim Neutkens hat die Schwachstelle GHSA-c4j6-fc7j-m34r auf GitHub offengelegt und Entwickler aufgefordert, unverzüglich auf Next.js 15.5.16 oder 16.2.5 zu aktualisieren. Wo eine Pflüchung nicht möglich ist, werden Schutzmaßnahmen auf Netzwerkebene empfohlen.

Administratoren sollten Reverse-Proxy-Server oder Lastverteilungssysteme so konfigurieren, dass alle WebSocket-Upgrade-Anfragen blockiert werden, sofern die Anwendung diese nicht aktiv nutzt. Zudem müssen Sicherheitsteams den ausgehenden Datenverkehr des Origin-Servers einschränken, indem der Zugriff auf interne Cloud-Metadaten-Dienste sowie auf nicht verwandte interne Netzwerke vollständig unterbunden wird. Sie uns auf