anonhaven

CVE-2026-27978

MEDIUM CVSS 4.0: 5,3 EPSS 0.01%
Обновлено 18 марта 2026
Vercel
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии 16.0.1 — 16.1.7
Устранено в версии 16.1.7
Тип уязвимости CWE-352 (Подделка межсайтовых запросов (CSRF))
Поставщик Vercel
Публичный эксплойт Нет

Next.js — это платформа React для создания полнофункциональных веб-приложений. Начиная с версии 16.0.1 и до версии 16.1.7, «origin: null» рассматривался как «отсутствующий» источник во время проверки CSRF действий сервера. В результате запросы из непрозрачных контекстов (например, изолированных iframe) могут обходить проверку происхождения вместо того, чтобы проверяться как запросы между источниками.

Злоумышленник может заставить браузер жертвы отправлять действия сервера из изолированного контекста, потенциально выполняя действия по изменению состояния с учетными данными жертвы (CSRF). В версии 16.1.7 это исправлено путем рассмотрения `'null'` как явного значения источника и принудительной проверки хоста/источника, если `'null'` явно не внесен в список разрешенных в `'experimental.serverActions.allowedOrigins`. Если обновление невозможно немедленно, добавьте токены CSRF для конфиденциальных действий сервера, отдайте предпочтение SameSite=Strict для конфиденциальных файлов cookie аутентификации и/или не разрешайте значение null в serverActions.allowedOrigins, если это не требуется намеренно и не защищено дополнительно.

Показать оригинальное описание (EN)

Next.js is a React framework for building full-stack web applications. Starting in version 16.0.1 and prior to version 16.1.7, `origin: null` was treated as a "missing" origin during Server Action CSRF validation. As a result, requests from opaque contexts (such as sandboxed iframes) could bypass origin verification instead of being validated as cross-origin requests. An attacker could induce a victim browser to submit Server Actions from a sandboxed context, potentially executing state-changing actions with victim credentials (CSRF). This is fixed in version 16.1.7 by treating `'null'` as an explicit origin value and enforcing host/origin checks unless `'null'` is explicitly allowlisted in `experimental.serverActions.allowedOrigins`. If upgrading is not immediately possible, add CSRF tokens for sensitive Server Actions, prefer `SameSite=Strict` on sensitive auth cookies, and/or do not allow `'null'` in `serverActions.allowedOrigins` unless intentionally required and additionally protected.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-352 Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов (CSRF))

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Vercel Next.Js
cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
 16.0.1 16.1.7

Ссылки 3

https://github.com/vercel/next.js/commit/a27a11d78e748a8c7ccfd14b7759ad2b9bf097…
security-advisories@github.com
https://github.com/vercel/next.js/releases/tag/v16.1.7
security-advisories@github.com
https://github.com/vercel/next.js/security/advisories/GHSA-mq59-m269-xvcx
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-29057

Vercel

6,3

CVE-2026-27980

Vercel

6,9

CVE-2026-27979

Vercel

6,9

CVE-2026-27977

Vercel

2,3

CVE-2025-55182

Vercel

10,0