CVE-2026-44577Next.js 在自托管模式下使用默认图片加载器时,其 Image Optimization API 存在安全缺陷。系统在获取本地图片时将整个文件加载到内存中,且未强制执行最大大小限制。攻击者可通过向 /_next/image 端点请求匹配 localPatterns 配置的大型本地资源,触发内存耗尽条件,从而导致拒绝服务。
该漏洞源于 Next.js 图片优化 API 对本地文件处理逻辑的缺陷。当服务器配置为自托管模式并使用默认图片加载器时,Next.js 会处理通过 /_next/image 路径传入的图片请求。代码在读取本地文件时,未对文件大小进行有效校验,直接将文件内容全部读入内存缓冲区。攻击者无需身份认证,只需构造特定的 HTTP 请求,指定目标服务器上存在的大文件(如日志、备份文件等)作为图片源,并确保该路径符合 images.localPatterns 的匹配规则。反复请求或请求超大文件将迅速消耗服务器内存资源,导致系统崩溃或服务不可用。