문제 설명

Next.js의 특정 버전에서, 미들웨어에서 수행되는 권한 검사를 우회할 수 있는 취약점이 발견되었습니다. 이로 인해, 인증되지 않은 사용자가 보호된 리소스에 접근할 수 있는 위험이 있습니다.

영향을 받는 버전

• 15.0 이상 15.2.3 미만
• 14.0 이상 14.2.25 미만
• 13.0.0 이상 13.5.9 미만
• 11.1.4 이상 12.3.5 미만

패치된 버전

• 15.2.3
• 14.2.25
• 13.5.9
• 12.3.5

해결 방법

• 영향을 받는 버전을 사용 중이라면, 가능한 한 빨리 패치된 버전으로 업그레이드하는 것이 권장됩니다.
• Vercel에 호스팅된 Next.js 배포는 자동으로 이 취약점으로부터 보호됩니다.
• 패치가 불가능한 경우, x-middleware-subrequest 헤더를 포함한 외부 사용자 요청이 Next.js 애플리케이션에 도달하지 않도록 차단하는 방법을 고려할 수 있습니다.

취약점의 심각성

이 취약점은 CVSS 점수 9.1로, 매우 심각한 수준으로 평가됩니다. 네트워크를 통해 공격이 가능하며, 공격자는 별도의 권한이나 사용자 상호작용 없이도 이 취약점을 악용할 수 있습니다.

이러한 설명을 통해 수강생들이 Next.js의 보안 문제를 이해하고, 적절한 조치를 취할 수 있도록 안내할 수 있습니다. 자세한 정보는 GitHub의 보안 권고 페이지에서 확인할 수 있습니다.