CVE-2026-45109 CVSS 7.5 高危

CVE-2026-45109 Next.js Turbopack中间件安全绕过

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45109

漏洞类型

安全特性绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Next.js

漏洞概述

Next.js是一款用于构建全栈Web应用程序的React框架。在15.2.0至15.5.18之前的版本以及16.2.6之前的版本中，发现针对CVE-2026-44575的修复未正确应用于使用Turbopack的middleware.ts文件中。该漏洞可能导致安全机制被绕过，造成敏感信息泄露。该问题已在15.5.18和16.2.6版本中修复，建议用户尽快升级。

技术细节

该漏洞的根本原因是补丁应用不完整。虽然官方针对CVE-2026-44575发布了修复补丁，但该补丁仅覆盖了标准构建流程，未能同步到Turbopack构建系统中。Turbopack是Next.js的下一代打包工具，当开发者使用Turbopack运行应用时，middleware.ts文件中的安全逻辑存在缺陷，无法正确拦截恶意请求。由于CVSS评分为7.5（高危），且攻击无需认证和用户交互，远程攻击者可利用此缺陷绕过中间件的安全检查。鉴于主要影响为机密性（C:H），攻击者可能借此访问受保护的API端点、获取敏感数据或绕过身份验证逻辑，从而对系统造成严重威胁。

攻击链分析

STEP 1

侦察

攻击者扫描互联网，识别使用Next.js框架且启用了Turbopack构建模式的目标应用。

STEP 2

漏洞探测

攻击者向目标发送特制的HTTP请求，该请求旨在触发middleware.ts中的逻辑缺陷，测试针对CVE-2026-44575的防护是否有效。

STEP 3

利用绕过

由于Turbopack未包含相关补丁，恶意请求成功绕过了中间件的安全检查和认证机制。

STEP 4

数据窃取

攻击者访问受限的API路由或敏感页面，获取高机密性的数据（C:H），导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for CVE-2026-45109
// Demonstrates a potential bypass of middleware protection in Next.js with Turbopack.

const axios = require('axios');

async function checkVulnerability(targetUrl) {
    try {
        // The specific payload would depend on the nature of CVE-2026-44575,
        // which typically involves path traversal or header manipulation.
        const response = await axios.get(targetUrl, {
            headers: {
                // Malicious headers designed to bypass middleware logic
                'X-Forwarded-Host': 'attacker-controlled.com'
            }
        });

        // If the response contains sensitive data that should be blocked,
        // the middleware bypass is confirmed.
        if (response.status === 200 && response.data.includes('admin_flag')) {
            console.log('[+] Vulnerability Confirmed: Middleware bypassed on Turbopack.');
        } else {
            console.log('[-] Target appears patched or not vulnerable.');
        }
    } catch (error) {
        console.error('Request failed:', error.message);
    }
}

// Usage: checkVulnerability('http://localhost:3000/api/protected');
checkVulnerability('http://localhost:3000/api/protected');

影响范围

Next.js >= 15.2.0, < 15.5.18

Next.js >= 16.0.0, < 16.2.6

防御指南

临时缓解措施

如果无法立即升级版本，建议暂时禁用Turbopack并切换回Webpack模式，以确保针对CVE-2026-44575的补丁生效。同时，可以在应用网关层（如Nginx或API Gateway）实施严格的访问控制策略，作为临时的防御层，阻止针对受影响路径的恶意请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表