Next.js Server-Side Request Forgery in Server Actions

Hoodie-Project / partyguam-frontend

파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍♀️파티 구해? partyguam!🧚‍

0 stars 1 forks source link

어떤 버그인가요?

어떤 버그인지 간결하게 설명해주세요

Next.js Server-Side Request Forgery in Server Actions

👀 어떤 상황에서 발생한 버그인가요?

(가능하면) Given-When-Then 형식으로 서술해주세요

Next.js에서 Server-Side Request Forgery(SSRF)에 대한 취약점이 제기됨

Next.js 어플리케이션이 보낸 것처럼 보이는 요청이 공격자에 의해 만들어질 수 있다는 것. (아래 조건을 만족 시)

14.1.1버전 미만의 Next.js사용시
Next.js에서 Server Actions기능을 사용할 시
Server Action이 '/'로 시작하는 상대 경로로의 리다이렉팅을 수행할 경우

📝 해결 방안

해결 방안을 설명해주세요

해결 방안은 Next.js의 버전 업!!!! github에서 자동 버전업 버튼을 제공해서 PR까지 만들어줌!

Hoodie-Project / partyguam-frontend

Next.js Server-Side Request Forgery in Server Actions #30

어떤 버그인가요?

Next.js Server-Side Request Forgery in Server Actions

👀 어떤 상황에서 발생한 버그인가요?

Next.js에서 Server-Side Request Forgery(SSRF)에 대한 취약점이 제기됨

📝 해결 방안