Kritische Next.js-Schwachstelle gefährdet Cloud-Zugangsdaten, API-Schlüssel und Admin-Oberflächen
Eine Schwere-Schwachstelle Next.js gefährdet selbst gehostete Webanwendungen mit schwerwiegenden Datenpannen.
Kurzfassung
Warum das wichtig ist
- Eine Schwere-Schwachstelle Next.js gefährdet selbst gehostete Webanwendungen mit schwerwiegenden Datenpannen.
- Bedrohungsakteure können nun eine Server-Side Request Forgery (SSRF)-Lücke ausnutzen, um Cloud-Zertifikate stumm zu stehlen, API-Schlüssel zu ernten und auf sensible interne Admin-Panel zugreifen.
- Organisationen, die selbst gehostete Next.js-Umgebungen betreiben, müssen unverzüglich nachpatchen, um zu verhindern, dass Angreifer in ihre internen Netzwerke eindringen.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine Schwere-Schwachstelle Next.js gefährdet selbst gehostete Webanwendungen mit schwerwiegenden Datenpannen.
Warum relevant
Next.js-Lücke enthüllt Zugangsdaten Die Schwachstelle, die als CVE-2026-44578 geführt wird, ergibt sich aus der Art und Weise, wie der integrierte Next.js-Node.js-Server WebSocket-Upgrade-Anfragen verarbeitet.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Next.js-Lücke enthüllt Zugangsdaten Die Schwachstelle, die als CVE-2026-44578 geführt wird, ergibt sich aus der Art und Weise, wie der integrierte Next.js-Node.js-Server WebSocket-Upgrade-Anfragen verarbeitet. Angreifer können speziell angefertigte WebSocket-Anfragen senden, die den Server dazu verleiten, als Proxy zu fungieren.
Dies zwingt den Server dazu, bösartige Anfragen an beliebige interne oder externe Ziele weiterzuleiten. Da der Server selbst die Anfrage ausführt, umgeht er externe Firewalls. Angreifer können diese vertrauenswürdige Position nutzen, um interne Netzwerkdienste abzufragen, ungeschützte Admin-Dashboards zu erreichen oder Cloud-Metadata-Endpunkte aufzurufen.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/next-js-vulnerability-exposes-credentials/
- Quell-URL
- https://cybersecuritynews.com/next-js-vulnerability-exposes-credentials/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
China testete erfolgreich einen formveränderbaren hypersonischen Ramjet-Motor.
Chinesische Forscher der Nordwest-Polytechnischen Universität und des Pekin-Instituts für Kraftmaschinen haben einen neuen hypersonischen Ramjet-Motor mit veränderlicher Kanalgeometrie erfolgreich getestet, der ohne teure Raketenbooster bereits ab Mach 1,8 bis zu Mach 6 kontinuierlich arbeitet. Die Entwicklung zeichnet sich durch ein hochtemperaturbeständiges Graphit-Dichtsystem aus, das bewegliche Komponenten bei bis zu 1.650 Grad Celsius innerhalb anpasst, und die Ergebnisse wurden im Journal of Propulsion Technology veröffentlicht.
29.06.2026
Live Redaktion
