CVE-2026-29057 CVSS 6.5 中危

CVE-2026-29057 Next.js 请求走私漏洞

披露日期: 2026-03-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-29057

漏洞类型

HTTP请求走私

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Next.js

漏洞概述

Next.js是用于构建全栈Web应用程序的React框架。在9.5.0版本至15.5.13和16.1.7之前的版本中，当Next.js将代理流量重写转发到外部后端时，攻击者可以利用精心构造的DELETE或OPTIONS请求配合Transfer-Encoding: chunked头部触发代理与后端之间的请求边界解析不一致，从而实施HTTP请求走私攻击。这可能导致攻击者绕过预期的重写目标，将恶意请求走私到内部或管理员端点。

技术细节

攻击者通过在DELETE或OPTIONS请求中同时包含Transfer-Encoding: chunked头部，触发代理与后端服务器对请求边界的不同理解。Next.js在处理重写路由时未正确处理Content-Length和Transfer-Encoding的组合，导致攻击者能够走私额外的HTTP请求。

攻击链分析

STEP 1

攻击者发送包含Transfer-Encoding: chunked的DELETE请求

STEP 2

Next.js代理错误处理请求边界

STEP 3

恶意请求被走私到后端服务器

STEP 4

攻击者访问内部或管理员端点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

curl -X DELETE https://target.com/api/endpoint -H 'Transfer-Encoding: chunked' -d '0\r\n\r\n'

影响范围

Next.js >= 9.5.0, < 15.5.13

Next.js >= 9.5.0, < 16.1.7

防御指南

临时缓解措施

如果无法立即升级，应在边缘或代理层阻止重写路由上的分块DELETE/OPTIONS请求，并对后端路由强制执行认证和授权

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表