Next.js框架近期修复了一个安全漏洞，该漏洞允许攻击者利用Server Actions发起拒绝服务(DoS)攻击。此漏洞被追踪为CVE-2024-56332，攻击者可以通过构造请求使服务器操作无限期运行，占用服务器资源，导致合法用户无法访问应用。尽管Next.js服务器本身在攻击期间保持空闲，但开放的连接可能会使服务器不堪重负。受影响的主要是使用服务器操作且未采取额外保护措施的Next.js部署。官方建议用户立即升级到Next.js 14(v14.2.21)、Next.js 15(v15.1.2)或Next.js 13(v13.5.8)版本以解决该漏洞，目前没有其他官方的解决方法。

⚠️ **漏洞原理**: 攻击者通过构建特定请求，使服务器操作无限期运行，占用服务器资源，导致服务不可用。

🛡️ **影响范围**: 使用Server Actions的Next.js部署，特别是那些没有对长时间运行函数执行提供保护的部署，更容易受到攻击。

✅ **修复方案**: 官方已发布修补版本，用户应立即升级到Next.js 14 (v14.2.21)、Next.js 15 (v15.1.2) 或 Next.js 13 (v13.5.8) 版本。

🚫 **无其他方法**: 官方声明没有其他解决方法，升级是唯一安全的途径。

流行的 React 框架 Next.js 已解决了一个安全漏洞，攻击者可利用该漏洞对使用 Server Actions 的应用程序发起拒绝服务 (DoS) 攻击。该漏洞被追踪为 CVE-2024-56332，由 PackDraw 团队负责任地披露。Next.js 以其性能和开发人员友好的功能而著称，被许多高流量网站和应用程序所使用。Server Actions 是一个相对较新的功能，可实现服务器端数据获取和突变，从而提高应用程序的性能和安全性。然而，这个漏洞可能会让恶意行为者利用服务器操作来破坏服务的可用性。漏洞的工作原理安全公告对该漏洞的解释如下： “拒绝服务（DoS）攻击允许攻击者构建请求，使对服务器操作的请求悬空，直到托管服务提供商取消函数执行。”从本质上讲，攻击者可以编造请求，让服务器动作无限期地运行，占用服务器资源，阻止合法用户访问应用程序。虽然 Next.js 服务器本身在攻击期间保持空闲，但开放连接可能会使服务器不堪重负，从而导致拒绝服务。影响和缓解CVE-2024-56332 漏洞影响了使用服务器动作的 Next.js 部署，特别是那些没有针对长时间运行函数执行提供保护的部署。像 Vercel 和 Netlify 这样的托管服务提供商通常都有默认的保护措施来降低此类风险，但其他平台上的部署可能更容易受到影响。Next.js 团队已发布修补版本来解决这一漏洞。强烈建议用户升级到最新版本的 Next.js 14 (v14.2.21)、Next.js 15 (v15.1.2) 或 Next.js 13 (v13.5.8)，以确保其应用程序受到保护。没有可用的解决方法该安全公告称 “该漏洞没有官方的解决方法”，并强调了升级到已打补丁版本的重要性。