CVE-2025-57752 - 漏洞详情

CVE-2025-57752 (CNNVD-202508-3486)

MEDIUM

中文标题:

Next.js 安全漏洞

英文标题:

Next.js Affected by Cache Key Confusion for Image Optimization API Routes

CVSS分数: 6.2

发布时间: 2025-08-29 22:06:27

漏洞类型: 其他

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

Next.js是Vercel开源的一个 React 框架。 Next.js 14.2.31之前版本和15.0.0至15.4.5之前版本存在安全漏洞，该漏洞源于缓存键混淆，可能导致未经授权的用户访问。

英文描述:

Next.js is a React framework for building full-stack web applications. In versions before 14.2.31 and from 15.0.0 to before 15.4.5, Next.js Image Optimization API routes are affected by cache key confusion. When images returned from API routes vary based on request headers (such as Cookie or Authorization), these responses could be incorrectly cached and served to unauthorized users due to a cache key confusion bug. This vulnerability has been fixed in Next.js versions 14.2.31 and 15.4.5. All users are encouraged to upgrade if they use API routes to serve images that depend on request headers and have image optimization enabled.

CWE类型:

CWE-524

受影响产品

厂商	产品	版本	版本范围	平台	CPE
vercel	next.js	>= 15.0.0, < 15.4.5	-	-	`cpe:2.3:a:vercel:next.js:>=_15.0.0,_<_15.4.5:::::::*`
vercel	next.js	< 14.2.31	-	-	`cpe:2.3:a:vercel:next.js:<_14.2.31:::::::*`
vercel	next.js	*	-	-	`cpe:2.3:a:vercel:next.js::::::node.js::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/vercel/next.js/security/advisories/GHSA-g5qg-72qw-gw5v x_refsource_CONFIRM
cve.org

访问

https://github.com/vercel/next.js/pull/82114 x_refsource_MISC
cve.org

访问

https://github.com/vercel/next.js/commit/6b12c60c61ee80cb0443ccd20de82ca9b4422ddd x_refsource_MISC
cve.org

访问

https://vercel.com/changelog/cve-2025-57752 x_refsource_MISC
cve.org

访问

CVSS评分详情

3.1 (cna)

MEDIUM

6.2

CVSS向量: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

机密性

HIGH

完整性

NONE

可用性

NONE

时间信息

发布时间:

2025-08-29 22:06:27

修改时间:

2025-09-02 19:23:39

创建时间:

2025-11-11 15:40:44

更新时间:

2025-11-11 16:00:08

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2025-57752`	2025-11-11 15:23:30	2025-11-11 07:40:44
NVD	`nvd_CVE-2025-57752`	2025-11-11 15:01:01	2025-11-11 07:48:31
CNNVD	`cnnvd_CNNVD-202508-3486`	2025-11-11 15:12:55	2025-11-11 08:00:08

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 16:00:08

vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202508-3486; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 其他
cnnvd_id: 未提取 -> CNNVD-202508-3486
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:48:31

affected_products_count: 2 → 3; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

affected_products_count: 2 -> 3
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2025-57752 (CNNVD-202508-3486)

中文标题:

Next.js 安全漏洞

英文标题:

Next.js Affected by Cache Key Confusion for Image Optimization API Routes

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

3.1 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史