Wiz
Datenbank der SchwachstelleCVE-2025-49826

CVE-2025-49826
ASP.NET Core Schwachstellenanalyse und -minderung

Überblick

Next.js, a React framework for building full-stack web applications, was found to contain a cache poisoning vulnerability (CVE-2025-49826) affecting versions 15.0.4-canary.51 to before 15.1.8. The vulnerability was disclosed on July 3, 2025, and received a CVSS score of 7.5 (High). This security flaw could lead to a Denial of Service (DoS) condition through cache poisoning (NVD, Security Online).

Technische Details

The vulnerability stems from a cache revalidation logic issue in Incremental Static Regeneration (ISR). Under specific conditions, the flaw allows HTTP 204 responses to be cached for static pages, which are then served to all users attempting to access the page. The issue specifically affects routes using cache revalidation with ISR in next start or standalone mode, and routes using Server-Side Rendering (SSR) combined with a CDN that caches 204 responses (Vercel Advisory, Security Online).

Aufprall

When exploited, the vulnerability causes entire pages to fail to render properly across a site, effectively resulting in a service blackout for critical user-facing content. The issue leads to a 204 No Content response being erroneously cached and served to all users visiting the affected pages. Notably, this issue does not impact customers hosted on Vercel (Security Online, Vercel Advisory).

Risikominderung und Problemumgehungen

The issue has been patched in version 15.2.0 and backported to version 15.0.4. The fix removed the problematic code path responsible for setting 204 responses and addressed a potential race condition by eliminating reliance on a shared response object in cache logic. Organizations running self-hosted or on-prem versions of Next.js between 15.1.0 and 15.1.7 should upgrade immediately to version 15.2.0 or later (Security Online, Vercel Advisory).

Reaktionen der Community

The vulnerability was responsibly disclosed by security researchers Allam Rachid (zhero) and Allam Yasser (inzo). The Next.js team responded promptly by releasing patches and providing detailed technical information about the vulnerability (Vercel Advisory).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt ASP.NET Core Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-55315CRITICAL9.9
  • C#C#
  • dotnet-templates-9.0
NeinJaOct 14, 2025
CVE-2025-59144HIGH8.8
  • JavaScriptJavaScript
  • dotnet-targeting-pack-6.0
NeinJaSep 15, 2025
CVE-2025-55247HIGH7.3
  • C#C#
  • dotnet6
NeinJaOct 14, 2025
CVE-2025-57752MEDIUM6.2
  • ASP.NET CoreASP.NET Core
  • aspnetcore-targeting-pack-7.0
NeinJaAug 29, 2025
CVE-2025-55248MEDIUM5.7
  • C#C#
  • dotnet-apphost-pack-7.0
NeinJaOct 14, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern