Kritična sigurnosna ranjivost otkrivena je u popularnom React framework-u Next.js, potencijalno omogućavajući napadačima da iscrpe CPU resurse kroz njegovu funkciju optimizacije slike.
Greška, identifikovana 14. oktobra 2024., utiče na verzije do 14.2.6 i može dovesti do uslova uskraćivanja usluge (DoS).
Ranjivost proizilazi iz funkcionalnosti optimizacije slike u Next.js, koja je dizajnirana da poboljša performanse automatskim promjenom veličine, optimizacijom i posluživanjem slika u modernim formatima .
Međutim, ova karakteristika je sadržavala nedostatak koji bi se mogao iskoristiti da izazove prekomjernu potrošnju CPU-a, što bi potencijalno dovelo do toga da pogođene aplikacije ne reaguju.
Vercel, kompanija koja stoji iza Next.js-a, odmah je riješila problem izdavanjem zakrpe u verziji 14.2.7. Korisnicima zahvaćenih verzija toplo se savjetuje da nadograde na ovo najnovije izdanje ili implementiraju preporučena rješenja kako bi umanjili rizik.
Važno je napomenuti da nisu sve Next.js aplikacije ranjive. One koje su konfigurisane sa specifičnim postavkama u datoteci next.config.js, kao što su images.unoptimized postavljeno na true ili images.loader postavljeno na vrednost koja nije podrazumevana, ne utiču na to. Osim toga, aplikacije koje se nalaze na Vercelovoj platformi su zaštićene od ove ranjivosti.
Za one koji ne mogu odmah da se nadograde, Vercel je obezbjedio zaobilazna rfješenja. To uključuje izmjenu next.config.js datoteke kako bi se dodijelile vrijednosti ili images.unoptimized , images.loader ili images.loaderFile .
Ovaj sigurnosni problem naglašava važnost održavanja okvira za web razvoj ažurnim i redovnog pregleda postavki konfiguracije.
Također naglašava tekuće izazove u balansiranju funkcija optimizacije performansi sa robusnim mjerama sigurnosti u modernim web aplikacijama.
Otkrivanje ove ranjivosti poklapa se sa izdanjem Next.js 14.2, koji uvodi nekoliko poboljšanja u razvoj, proizvodnju i mogućnosti keširanja.
Dok nova verzija donosi poboljšanja kao što je Turbopack za brži razvoj i poboljšano rukovanje greškama, ovo sigurnosno ažuriranje naglašava kritičnu prirodu promptnog rješavanja ranjivosti .
Kako se web aplikacije i dalje u velikoj mjeri oslanjaju na okvire poput Next.js za poboljšane performanse i iskustvo programera, održavanje budnosti protiv potencijalnih sigurnosnih prijetnji ostaje najvažnije.
Programeri i organizacije koje koriste Next.js se ohrabruju da pregledaju svoje implementacije i primjene potrebna ažuriranja kako bi osigurali sigurnost i stabilnost svojih aplikacija.
Izvor: CyberSecurityNews