流行的 React 框架 Next.js 已解决了一个安全漏洞，攻击者可利用该漏洞对使用 Server Actions 的应用程序发起拒绝服务 (DoS) 攻击。该漏洞被追踪为 CVE-2024-56332，由 PackDraw 团队负责任地披露。

Next.js 以其性能和开发人员友好的功能而著称，被许多高流量网站和应用程序所使用。Server Actions 是一个相对较新的功能，可实现服务器端数据获取和突变，从而提高应用程序的性能和安全性。然而，这个漏洞可能会让恶意行为者利用服务器操作来破坏服务的可用性。

漏洞的工作原理

安全公告对该漏洞的解释如下： “拒绝服务（DoS）攻击允许攻击者构建请求，使对服务器操作的请求悬空，直到托管服务提供商取消函数执行。”

从本质上讲，攻击者可以编造请求，让服务器动作无限期地运行，占用服务器资源，阻止合法用户访问应用程序。虽然 Next.js 服务器本身在攻击期间保持空闲，但开放连接可能会使服务器不堪重负，从而导致拒绝服务。

影响和缓解

CVE-2024-56332 漏洞影响了使用服务器动作的 Next.js 部署，特别是那些没有针对长时间运行函数执行提供保护的部署。像 Vercel 和 Netlify 这样的托管服务提供商通常都有默认的保护措施来降低此类风险，但其他平台上的部署可能更容易受到影响。

Next.js 团队已发布修补版本来解决这一漏洞。强烈建议用户升级到最新版本的 Next.js 14 (v14.2.21)、Next.js 15 (v15.1.2) 或 Next.js 13 (v13.5.8)，以确保其应用程序受到保护。

没有可用的解决方法

该安全公告称 “该漏洞没有官方的解决方法”，并强调了升级到已打补丁版本的重要性。