Ваш сервер Next.js работал на хакера — одна уязвимость превращает его в прокси для грабежа внутренних API
В Next.js закрыли уязвимость CVE-2026-44578, которая затрагивает приложения, размещённые на собственной инфраструктуре и использующие встроенный Node.js-сервер. Ошибка относится к классу SSRF, то есть подделке серверного запроса: атакующий может заставить уязвимый сервер отправить запрос к внутреннему или внешнему адресу и получить доступ к ресурсам, которые обычно не доступны из интернета. Размещений на Vercel проблема не касается.
Проблема связана с обработкой запросов на переход к WebSocket. Специально сформированный запрос может заставить встроенный сервер Next.js работать как прокси и перенаправлять обращения к произвольным адресам. В зоне риска оказываются внутренние панели администрирования, служебные API и конечные точки облачных метаданных, где могут храниться временные учётные данные IAM, токены доступа и секреты развёртывания.
Уязвимость затрагивает Next.js версий от 13.4.13 до 15.5.16 и от 16.0.0 до 16.2.5. Исправления вышли в Next.js 15.5.16 и 16.2.5. GitHub относит проблему к высокому уровню опасности, NVD указывает CWE-918 и оценку CVSS 8.6.
После обновления Next.js строже проверяет запросы на переход к WebSocket и не должен проксировать обращения к произвольным адресам без безопасной настройки маршрутизации. Разработчикам проектов на собственной инфраструктуре нужно обновить пакет next до исправленной версии, а при невозможности быстрого исправления закрыть такие запросы на уровне обратного прокси или балансировщика, если приложение не использует WebSocket.
Дополнительно стоит ограничить исходящие соединения с сервера приложения. Серверу Next.js не нужен свободный доступ ко всей внутренней сети, конечным точкам облачных метаданных и служебным адресам, не связанным с работой проекта. Такой запрет снижает ущерб от SSRF, даже если в приложении позже найдут похожую ошибку.
Netlify отдельно сообщила, что её проекты не подвержены этой уязвимости: Netlify Functions и Edge Functions не поддерживают переход к WebSocket, поэтому опасный участок кода там не используется. Cloudflare также рекомендовала обновить Next.js и не полагаться только на WAF, потому что часть раскрытых уязвимостей в React и Next.js нельзя полностью закрыть правилами межсетевого экрана веб-приложений.