lỗ hổng CVE trong Next.js đang ảnh hưởng đến các ứng dụng web tự host, với nguy cơ dẫn tới rò rỉ dữ liệu nhạy cảm và xâm nhập trái phép vào các dịch vụ nội bộ. Lỗ hổng này liên quan đến cách Next.js Node.js server xử lý yêu cầu WebSocket upgrade, tạo điều kiện cho Server-Side Request Forgery (SSRF) khi bị khai thác.
Lỗ hổng CVE-2026-44578 Trong Next.js
Lỗ hổng được theo dõi là CVE-2026-44578 và đã được công bố trong advisory trên GitHub tại GHSA-c4j6-fc7j-m34r. Vấn đề nằm ở luồng xử lý WebSocket upgrade của Next.js server mặc định, nơi máy chủ có thể bị lừa đóng vai trò như một proxy để chuyển tiếp yêu cầu đến đích do kẻ tấn công chỉ định.
Các yêu cầu WebSocket được tạo đặc biệt có thể khiến server chuyển tiếp lưu lượng đến các địa chỉ nội bộ hoặc bên ngoài. Khi điều này xảy ra, tường lửa bên ngoài không còn là rào cản hiệu quả vì yêu cầu được thực thi từ chính máy chủ ứng dụng.
Cách Hoạt Động Của SSRF Trong Next.js
Trong kịch bản khai thác, kẻ tấn công gửi các gói WebSocket upgrade được chế tạo riêng để đánh lừa server. Sau đó, server sẽ proxy yêu cầu đến các tài nguyên không mong muốn. Đây là dạng lỗ hổng zero-day theo ngữ cảnh khai thác trước khi hệ thống được vá đầy đủ.
Điểm nguy hiểm của cảnh báo CVE này là server có thể truy cập vào những tài nguyên vốn không thể bị gọi trực tiếp từ bên ngoài, bao gồm:
- Các admin panel nội bộ không được bảo vệ.
- Dịch vụ trong mạng nội bộ chỉ chấp nhận truy cập từ máy chủ tin cậy.
- Cloud metadata endpoints chứa thông tin xác thực tạm thời.
Các metadata endpoint trên cloud đặc biệt quan trọng vì chúng thường lưu trữ IAM credentials tạm thời, API keys và deployment secrets. Nếu bị truy cập, kẻ tấn công có thể trích xuất thông tin xác thực và mở rộng phạm vi xâm nhập mạng.
Ảnh Hưởng Hệ Thống
lỗ hổng CVE này chỉ ảnh hưởng đến các ứng dụng self-hosted Next.js đang sử dụng server Node.js mặc định. Các hệ thống chạy trên Vercel không bị tác động bởi cơ chế routing WebSocket dễ bị khai thác này.
Hậu quả kỹ thuật có thể bao gồm:
- Rò rỉ dữ liệu từ các dịch vụ nội bộ.
- Truy cập trái phép vào dashboard quản trị.
- Thu thập cloud credentials và token nhạy cảm.
- Pivot sang các phân đoạn mạng nội bộ khác.
Trong bối cảnh rủi ro bảo mật này, hệ thống bị tấn công có thể bị sử dụng làm điểm trung chuyển để dò quét dịch vụ nội bộ và lấy cắp dữ liệu cấu hình vận hành.
Phiên Bản Bị Ảnh Hưởng Và Bản Vá Bảo Mật
Theo thông tin công bố, lỗ hổng ảnh hưởng đến hai nhánh phát hành của hệ sinh thái Next.js. Nhóm phát triển đã phát hành bản vá bảo mật để siết chặt kiểm tra an toàn khi xử lý WebSocket upgrade.
Các phiên bản cần nâng cấp ngay là:
- Next.js 15.5.16
- Next.js 16.2.5
Sau khi cập nhật, server chỉ proxy các yêu cầu upgrade khi cấu hình routing xác định rõ là safe external rewrites. Cơ chế này giảm thiểu nguy cơ khai thác SSRF từ WebSocket upgrade request.
Kiểm Tra Môi Trường Triển Khai
Quản trị viên cần xác định rõ ứng dụng có đang chạy self-hosted Next.js hay không. Nếu dùng hạ tầng tự quản lý, cần kiểm tra phiên bản và triển khai cập nhật bản vá ngay khi có thể.
Đối với hệ thống không thể nâng cấp tức thời, cần áp dụng các biện pháp giảm thiểu ở tầng mạng để hạn chế mối đe dọa mạng từ WebSocket upgrade traffic.
Biện Pháp Giảm Thiểu Và Phòng Ngừa
Khi chưa thể cập nhật ngay, quản trị viên nên cấu hình reverse proxy hoặc load balancer để chặn toàn bộ yêu cầu WebSocket upgrade nếu ứng dụng không sử dụng tính năng này. Đây là biện pháp trực tiếp để giảm nguy cơ xâm nhập trái phép thông qua luồng proxy bất thường.
Đồng thời, cần giới hạn lưu lượng outbound từ origin server. Việc chặn truy cập đến các dịch vụ cloud metadata và các mạng nội bộ không liên quan sẽ giúp giảm thiểu thiệt hại nếu SSRF bị khai thác thành công.
# Ví dụ định hướng kiểm soát ở lớp reverse proxy hoặc load balancer
# Chặn WebSocket upgrade nếu ứng dụng không dùng đến
if ($http_upgrade = "websocket") {
return 403;
}
# Giới hạn outbound traffic từ origin server
# Chặn truy cập tới metadata endpoint và dải mạng nội bộ
Việc áp dụng các kiểm soát này nên đi kèm với giám sát phát hiện xâm nhập và rà soát log để nhận diện các request WebSocket bất thường. Trong môi trường sản xuất, đây là bước quan trọng để giảm nguy cơ bảo mật từ các yêu cầu SSRF có chủ đích.
Điểm Kỹ Thuật Cần Lưu Ý
lỗ hổng CVE này không nằm ở giao diện người dùng mà ở tầng xử lý server-side. Điều đó có nghĩa là các biện pháp bảo vệ phía trình duyệt không giúp loại bỏ rủi ro. Phạm vi ảnh hưởng phụ thuộc vào việc ứng dụng có dùng server mặc định của Next.js và có mở WebSocket routing hay không.
Trong các môi trường tự host, ưu tiên cao nhất là update vá lỗi, sau đó là kiểm soát outbound traffic và giới hạn khả năng proxy của server. Khi cấu hình đúng, tổ hợp biện pháp này giúp giảm đáng kể tác động từ cảnh báo CVE liên quan đến SSRF.
Tham khảo thêm tại NVD: https://nvd.nist.gov/
