文章总结： Next.js曝出高危SSRF漏洞CVE-2026-44578，CVSS评分8.6，影响自托管部署实例。攻击者无需认证即可通过特制WebSocket升级请求诱导服务器向内网地址发起请求，可能导致内网横向移动、云凭证窃取等风险。文档提供了受影响版本范围、漏洞原理分析，并给出升级至安全版本、网络层缓解措施等具体解决方案。 综合评分： 85 文章分类： 漏洞预警,WEB安全,云安全,应急响应,解决方案

Next.js曝出高危SSRF漏洞 CVE-2026-44578

原创

Red Hunter Red Hunter

黑白之道

2026年5月16日 09:24 江西

在小说阅读器读本章

去阅读

导语：2026年5月11日，Vercel发布安全公告披露Next.js存在SSRF漏洞（CVE-2026-44578），CVSS评分8.6。所有自托管部署实例均受影响，攻击者无需认证即可通过特制WebSocket升级请求，诱导服务器向任意内网地址发起请求。

漏洞基本信息

| 字段 | 内容 | | — | — | | CVE编号 | CVE-2026-44578 | | CVSS评分 | 8.6（高危） | | 漏洞类型 | SSRF（服务器端请求伪造） | | 利用条件 | 无需认证 | | 受影响版本 | >= 13.4.13, < 15.5.16 及 >= 16.0.0, < 16.2.5 | | 不适用场景 | Vercel托管部署实例（已在其平台级别修复） |

漏洞原理

Next.js自托管部署使用内置Node.js服务器处理HTTP请求。WebSocket升级请求的处理逻辑中缺少对目标地址的校验，攻击者可通过精心构造的Upgrade: websocket报文，在Sec-WebSocket-Protocol或相关Header中注入目标地址，使服务器在未验证的情况下向内网任意地址发起代理请求。

攻击路径：外部请求 → WebSocket升级 → 服务器代理 → 内网/云元数据（169.254.169.254等）→ 凭证/敏感信息回传。

受影响范围包括企业内网中的数据库、Redis、K8s API Server、云服务元数据端点（AWS/GCP/Azure Instance Metadata）。

影响范围评估

SSRF漏洞的潜在损害通常远超评分本身。一旦攻击者成功利用：

• 内网横向移动：扫描并访问内部服务
• 云凭证窃取：通过访问169.254.169.254获取临时IAM凭据
• 敏感信息泄露：内网API、管理端口的未授权访问

置信度评分：高（多家安全机构独立确认，GitHub Advisory已收录）

排查与缓解

第一步：确认受影响版本

# 检查当前版本
npm list next
# 或
grep '"next"' package-lock.json

第二步：升级至安全版本

| 当前版本范围 | 升级目标 | | — | — | | >= 13.4.13, < 15.5.16 | 升级至 15.5.16 | | >= 16.0.0, < 16.2.5 | 升级至 16.2.5 |

第三步：网络层临时缓解（无法立即升级时）

• 审查并限制WebSocket升级请求的来源IP白名单
• 在WAF层对Upgrade: websocket请求实施路径/参数校验
• 监控网络日志中对内网IP段和169.254.169.254的异常出站请求

第四步：日志审计 排查历史WebSocket升级请求日志中是否存在指向内网地址的异常请求。

版权声明：本文由华盟网原创发布，保留所有权利。配图由华盟网授权使用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 Red Hunter Red Hunter《Next.js曝出高危SSRF漏洞 CVE-2026-44578》