Vulnerabilitatea optimizării imaginilor Next.js permite epuizarea resurselor CPU
Sursă: https://cybersecuritynews.com
O vulnerabilitate critică de securitate a fost descoperită în cadrul popularului framework React Next.js, permițând atacatorilor să epuizeze resursele CPU prin funcția sa de optimizare a imaginilor.
Vulnerabilitatea, identificată la 14 octombrie 2024, afectează versiunile de până la 14.2.6 și ar putea declanșa atacuri de tip Denial of Service (DoS).
Vulnerabilitatea provine din funcția de optimizare a imaginilor din Next.js, care este concepută pentru a îmbunătăți performanța prin redimensionarea, optimizarea și distribuirea automată a imaginilor în formate moderne.
Cu toate astea, această funcție conține o vulnerabilitate ce ar putea fi exploatată pentru a determina un consum excesiv de CPU, ceea ce ar putea face ca aplicațiile afectate să nu funcționeze în mod corect.
Vercel, compania din spatele Next.js, a remediat prompt eroarea prin lansarea unor actualizări în versiunea 14.2.7. Utilizatorii versiunilor afectate sunt sfătuiți să facă upgrade la această ultimă versiune sau să implementeze soluțiile de remediere recomandate pentru a diminua riscul.
Este important să rețineți că nu toate aplicațiile Next.js sunt vulnerabile. Cele configurate cu setări specifice în fișierul next.config.js, cum ar fi images.unoptimized setat la true sau images.loader setat la o valoare diferită de cea implicită, nu sunt afectate. În plus, aplicațiile găzduite pe platforma Vercel sunt protejate de această vulnerabilitate.
Pentru cei care nu pot actualiza imediat, Vercel a furnizat soluții de protecție. Acestea includ modificarea fișierului next.config.js pentru a atribui valori fie la images.unoptimized, images.loader, fie la images.loaderFile.
Descoperirea acestei vulnerabilități coincide cu lansarea versiunii Next.js 14.2, care introduce mai multe îmbunătățiri în ceea ce privește capacitățile de dezvoltare, producție și caching.
Pe măsură ce aplicațiile web continuă să se bazeze în mare măsură pe framework-uri precum Next.js pentru îmbunătățirea performanței și a experienței dezvoltatorului, menținerea vigilenței împotriva potențialelor amenințări de securitate rămâne esențială.
Dezvoltatorii și organizațiile care utilizează Next.js sunt încurajați să își revizuiască implementările și să aplice actualizările necesare pentru a asigura securitatea și stabilitatea aplicațiilor lor.
Sursă: https://cybersecuritynews.com/next-js-image-optimization-vulnerability
