Taking down Next.js servers for 0.0001 cents a pop

Taking down Next.js servers for 0.0001 cents a pop

摘要

发现Next.js服务器存在未认证的DoS漏洞，可通过单个HTTP请求导致服务器崩溃，且攻击成本极低。该漏洞影响自托管Next.js服务器，尤其使用中间件时。建议升级至15.5.5或16.0.0版本，或配置反向代理限制请求大小以预防攻击。漏洞已修复并披露，建议开发者及时更新。