1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


TugaTech » Software » Noticias de Software » Falha grave no Next.js expõe credenciais de nuvem e chaves de API

Next JS hacker

Uma vulnerabilidade de risco elevado no Next.js está a deixar as aplicações web em alojamento próprio expostas a fugas de dados severas. Através de uma falha do tipo SSRF (Server-Side Request Forgery), agentes maliciosos podem roubar credenciais de acesso à nuvem, recolher chaves de API e até invadir painéis de administração internos que deveriam estar protegidos.

Segundo os detalhes avançados pelo Cyber Security News, este problema, identificado como CVE-2026-44578, reside na forma como o servidor Node.js integrado no Next.js lida com os pedidos de atualização de WebSockets. Os atacantes podem enviar pedidos manipulados que convencem o servidor a atuar como um proxy, encaminhando tráfego malicioso para destinos internos ou externos.

Como funciona a exploração do servidor

Como o pedido é executado pelo próprio servidor, este consegue contornar firewalls externas e aceder a serviços de rede privada ou endpoints de metadados da nuvem. Estes locais são alvos particularmente valiosos, pois guardam frequentemente credenciais IAM temporárias, tokens de acesso e segredos de implementação que podem comprometer toda a infraestrutura da organização.

É importante notar que esta falha afeta exclusivamente as aplicações Next.js que correm em infraestrutura própria utilizando o servidor padrão. Se a tua aplicação estiver alojada na Vercel, podes respirar de alívio: a infraestrutura da plataforma não utiliza a implementação de encaminhamento de WebSocket que contém o erro, estando totalmente imune a este exploit.

Quem está em risco e as medidas de proteção

Para quem gere a sua própria infraestrutura, a verificação da versão em uso é obrigatória. A falha atinge dois ramos distintos do ecossistema e exige uma intervenção rápida das equipas de segurança. A equipa de manutenção do Next.js já disponibilizou as correções necessárias, que aplicam verificações de segurança mais rigorosas no manuseamento dos WebSockets.

Tim Neutkens partilhou o aviso no GitHub, recomendando que os programadores façam o upgrade imediato para as versões 15.5.16 ou 16.2.5 do Next.js. Nos casos em que a atualização não possa ser feita no imediato, recomendam-se as seguintes medidas:

  • Configurar proxies inversos ou balanceadores de carga para bloquear todos os pedidos de atualização de WebSocket, caso a aplicação não os utilize ativamente.

  • Restringir o tráfego de saída do servidor de origem, bloqueando totalmente o acesso a serviços de metadados de nuvem e a redes internas não relacionadas com o funcionamento da aplicação.

Adicionar o TugaTech
como Fonte Preferida no Google
Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!

Comentar





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech