【紧急漏洞通告】Next.js 服务器端请求伪造漏洞CVE-2026-44578-网络安全-中国石油大学（北京）信息化管理处信息技术中心

【紧急漏洞通告】Next.js 服务器端请求伪造漏洞CVE-2026-44578

时间：2026-05-21 来源：浏览量：

近日发现最新漏洞威胁：Next.js 服务器端请求伪造漏洞CVE-2026-44578

【漏洞详情】

Next.js 服务器端存在请求伪造漏洞，框架在处理部分路由重定向、内部资源请求或代理逻辑时，未对用户可控的外部输入地址做严格的内网 IP、本地回环地址、敏感协议及端口过滤校验，攻击者可构造恶意请求操控服务端向内部网络、本地服务发起任意请求，从而实现探测内网资产、读取本地敏感信息、绕过访问控制等 SSRF 攻击行为。

目前受影响的Next.JS版本：

13.4.13 ≤ Next.js < 15.5.16

16.0.0 ≤ Next.js < 16.2.5

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

下载链接：

https://github.com/vercel/next.js/releases/tag/v15.5.16

https://github.com/vercel/next.js/releases/tag/v16.2.5