CVE-2026-44577
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
Next.js w wersjach od 10.0.0 do 15.5.16 i 16.2.5, podczas samodzielnego hostowania z domyślnym loaderem obrazów, nie ogranicza rozmiaru lokalnych zasobów pobieranych przez API optymalizacji obrazów. Atakujący może wykorzystać ten błąd, żądając dużych plików z endpointu /_next/image, co prowadzi do wyczerpania pamięci.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu out-of-memory, który może spowodować niedostępność aplikacji (DoS) poprzez przeciążenie serwera dużymi żądaniami obrazów.
Rekomendacja
Zaleca się natychmiastową aktualizację Next.js do wersji 15.5.16 lub 16.2.5, które zawierają poprawkę ograniczającą rozmiar pobieranych obrazów.
Oryginalny opis (angielski, źródło NVD)
Next.js is a React framework for building full-stack web applications. From 10.0.0 to before 15.5.16 and 16.2.5, when self-hosting Next.js with the default image loader, the Image Optimization API fetches local images entirely into memory without enforcing a maximum size limit. An attacker could cause out-of-memory conditions by requesting large local assets from the /_next/image endpoint that match the images.localPatterns configuration (by default, all patterns are allowed). This vulnerability is fixed in 15.5.16 and 16.2.5.

