更新: 331 个文件 - 2026-04-02 03:15:10
这个提交包含在:
hao
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `3`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `15`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `82`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -6,13 +6,13 @@
|
||||
- 分类: `frameworks`
|
||||
- 覆盖策略: `rolling-24m`
|
||||
- 总案例数: `2`
|
||||
- 近 30 天新增/更新: `1`
|
||||
- 近 30 天新增/更新: `0`
|
||||
- 重点 Markdown 案例数: `0`
|
||||
- 已实证(真实版本): `0`
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -6,13 +6,13 @@
|
||||
- 分类: `frameworks`
|
||||
- 覆盖策略: `history-full`
|
||||
- 总案例数: `66`
|
||||
- 近 30 天新增/更新: `10`
|
||||
- 近 30 天新增/更新: `11`
|
||||
- 重点 Markdown 案例数: `41`
|
||||
- 已实证(真实版本): `26`
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `40`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
@@ -38,7 +38,7 @@
|
||||
| Next.js: null origin can bypass Server Actions CSRF checks | `medium` | `generated` | `triage-manual` | `synthetic` | `official` | `2026-03-19T18:31:23.523529Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-cve-2026-27978.md) |
|
||||
| Next.js: null origin can bypass dev HMR websocket CSRF checks | `medium` | `generated` | `triage-manual` | `synthetic` | `official` | `2026-03-25T19:49:01.129152Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-cve-2026-27977.md) |
|
||||
| Next.js HTTP request deserialization can lead to DoS when using insecure React Server Components | `low` | `generated` | `verified-real` | `real` | `official` | `2026-02-13T00:43:52.836085Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-ghsa-h25m-26qc-wcjf.md) |
|
||||
| Next.js has Unbounded Memory Consumption via PPR Resume Endpoint | `low` | `generated` | `verified-real` | `real` | `official` | `2026-02-06T13:13:43.709252Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-cve-2025-59472.md) |
|
||||
| Next.js has Unbounded Memory Consumption via PPR Resume Endpoint | `low` | `generated` | `verified-real` | `real` | `official` | `2026-04-01T17:31:03.347234Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-cve-2025-59472.md) |
|
||||
| Next.js self-hosted applications vulnerable to DoS via Image Optimizer remotePatterns configuration | `low` | `generated` | `verified-real` | `real` | `official` | `2026-02-10T01:28:46.973023Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-cve-2025-59471.md) |
|
||||
| Next has a Denial of Service with Server Components - Incomplete Fix Follow-Up | `low` | `generated` | `verified-real` | `real` | `official` | `2026-02-04T02:46:38.768104Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-ghsa-5j59-xgg2-r9c4.md) |
|
||||
| Next Server Actions Source Code Exposure | `low` | `generated` | `verified-real` | `real` | `official` | `2026-02-04T02:51:40.627151Z` | [link](/Users/x/websafe/07-framework-security/frameworks/nextjs/cases/nextjs-ghsa-w37m-7fhw-fmv9.md) |
|
||||
|
||||
@@ -4,7 +4,7 @@ system_id: "nextjs"
|
||||
category: "frameworks"
|
||||
advisory_mode: "core"
|
||||
published_date: "2026-01-28T15:20:55Z"
|
||||
updated_date: "2026-02-06T13:13:43.709252Z"
|
||||
updated_date: "2026-04-01T17:31:03.347234Z"
|
||||
severity: "low"
|
||||
exploit_status: "unknown"
|
||||
source_confidence: "official"
|
||||
@@ -23,11 +23,25 @@ aliases:
|
||||
- "CVE-2025-59472"
|
||||
- "GHSA-5f7q-jpqc-wp7h"
|
||||
affected_versions:
|
||||
- "introduced=15.0.0-canary.0, fixed<15.6.0-canary.61"
|
||||
- "introduced=16.0.0-beta.0, fixed<16.1.5"
|
||||
- "introduced=15.0.0-canary.0"
|
||||
- "introduced=15.0.1-canary.0"
|
||||
- "introduced=15.0.2-canary.0"
|
||||
- "introduced=15.0.3-canary.0"
|
||||
- "introduced=15.0.4-canary.0"
|
||||
- "introduced=15.1.1-canary.0"
|
||||
- "introduced=15.2.0-canary.0"
|
||||
- "introduced=15.2.1-canary.0"
|
||||
- "introduced=15.2.2-canary.0"
|
||||
- "introduced=15.3.0-canary.0"
|
||||
- "introduced=15.3.1-canary.0"
|
||||
- "introduced=15.4.0-canary.0"
|
||||
- "introduced=15.4.2-canary.0"
|
||||
- "introduced=15.5.1-canary.0"
|
||||
- "introduced=15.6.0-canary.0, fixed<15.6.0-canary.61"
|
||||
fixed_versions:
|
||||
- "15.6.0-canary.61"
|
||||
- "16.1.5"
|
||||
- "15.6.0-canary.61"
|
||||
entity_refs:
|
||||
- "nextjs:system:root-system"
|
||||
- "nextjs--project--next:project:affected-component"
|
||||
@@ -56,8 +70,8 @@ primary_source: "https://github.com/vercel/next.js/security/advisories/GHSA-5f7q
|
||||
- 严重度: `low`
|
||||
- 来源置信度: `official`
|
||||
- 官方主源: https://github.com/vercel/next.js/security/advisories/GHSA-5f7q-jpqc-wp7h
|
||||
- 影响版本: `introduced=15.0.0-canary.0, fixed<15.6.0-canary.61, introduced=16.0.0-beta.0, fixed<16.1.5`
|
||||
- 修复版本: `15.6.0-canary.61, 16.1.5`
|
||||
- 影响版本: `introduced=16.0.0-beta.0, fixed<16.1.5, introduced=15.0.0-canary.0, introduced=15.0.1-canary.0, introduced=15.0.2-canary.0, introduced=15.0.3-canary.0, introduced=15.0.4-canary.0, introduced=15.1.1-canary.0, introduced=15.2.0-canary.0, introduced=15.2.1-canary.0, introduced=15.2.2-canary.0`
|
||||
- 修复版本: `16.1.5, 15.6.0-canary.61`
|
||||
|
||||
## 对象与版本映射
|
||||
|
||||
@@ -110,7 +124,7 @@ primary_source: "https://github.com/vercel/next.js/security/advisories/GHSA-5f7q
|
||||
|
||||
### 补丁验证步骤
|
||||
|
||||
- 确认目标版本从 `introduced=15.0.0-canary.0, fixed<15.6.0-canary.61, introduced=16.0.0-beta.0, fixed<16.1.5` 升级或回移到 `15.6.0-canary.61`。
|
||||
- 确认目标版本从 `introduced=16.0.0-beta.0, fixed<16.1.5, introduced=15.0.0-canary.0, introduced=15.0.1-canary.0` 升级或回移到 `16.1.5`。
|
||||
- 保留同一组受控输入,在修复前后分别执行并比对响应、日志与浏览器证据。
|
||||
- 确认修复后仅保留预期业务行为,不再触发越权、回显、异常渲染或错误请求。
|
||||
- 补充 `proxy-boundary` 族自动化回归,避免同类路径在插件、主题或代理链中回归。
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `8`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `28`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `42`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `21`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `2`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `11`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `4`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `3`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `9`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `9`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `30`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `15`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
@@ -12,7 +12,7 @@
|
||||
- 已实证(synthetic): `0`
|
||||
- 阻塞数: `0`
|
||||
- 待人工/缺浏览器证据: `1`
|
||||
- 最近渲染时间: `2026-04-01T09:21:04+00:00`
|
||||
- 最近渲染时间: `2026-04-02T09:18:51+00:00`
|
||||
|
||||
## 目标约束
|
||||
|
||||
|
||||
在新工单中引用
屏蔽一个用户