Sicherheitslücke in Open Next: SSRF-Angriff über Cloudflare-Adapter möglich

Eine kürzlich entdeckte Schwachstelle in der Kombination aus Open Next.js und Cloudflare stellt ein ernstzunehmendes Sicherheitsrisiko dar. Über den Endpunkt /_next/image, der in Next.js-Anwendungen zur Auslieferung optimierter Bilder dient, können Angreifer unter bestimmten Bedingungen Server-Side Request Forgery (SSRF) ausnutzen. Die Lücke wird inzwischen unter der Kennung CVE-2025-6087 geführt.

Konkret erlaubt die Sicherheitslücke es nicht authentifizierten Dritten, beliebige externe Inhalte über die Domain einer betroffenen Website zu laden. Dies eröffnet vielfältige Missbrauchsmöglichkeiten – von Phishing-Kampagnen über Datenexfiltration bis hin zum Missbrauch der Web-Domain für den Zugriff auf interne Dienste.

Ursache des Problems ist eine fehlende Sicherheitsprüfung im Cloudflare-Adapter von Open Next. Webseitenbetreiber, die diese Kombination einsetzen, sind daher dringend aufgerufen, Sicherheitsupdates einzuspielen oder entsprechende Schutzmaßnahmen zu implementieren.

Beschreibung

Im Paket @opennextjs/cloudflare wurde eine Schwachstelle vom Typ Server-Side Request Forgery (SSRF) identifiziert.

Die Schwachstelle beruht auf einer nicht implementierten Funktion im Cloudflare-Adapter für Open Next, die es nicht authentifizierten Benutzern ermöglichte, beliebige Remote-Inhalte über den Endpunkt /_next/image zu proxyen.

Dieses Problem ermöglichte es Angreifern, Remote-Ressourcen von beliebigen Hosts unter der Domain der Opfer-Website für jede Website zu laden, die den Cloudflare-Adapter für Open Next verwendet. Beispiel: https://victim-site.com/_next/image?url=https://attacker.com. In diesem Beispiel werden vom Angreifer kontrollierte Inhalte von attacker.com über die Domain der Opfer-Website (victim-site.com) bereitgestellt, was gegen die Same-Origin-Policy verstößt und Benutzer oder andere Dienste irreführen kann.

Auswirkungen

• SSRF über uneingeschränktes Laden von Remote-URLs
• Laden beliebiger Remote-Inhalte
• Mögliche Offenlegung interner Dienste oder Phishing-Risiken durch Domain-Missbrauch

Abhilfemaßnahmen

Die folgenden Abhilfemaßnahmen wurden getroffen:

Serverseitige Updates der Cloudflare-Plattform, um die über den Endpunkt /_next/image geladenen Inhalte auf Bilder zu beschränken. Das Update behebt das Problem automatisch für alle bestehenden und zukünftigen Websites, die mit der betroffenen Version des Cloudflare-Adapters für Open Next

Behebung der Grundursache: Pull-Anfrage #727 an den Cloudflare-Adapter für Open Next. Die gepatchte Version des Adapters finden Sie hier: @opennextjs/cloudflare@1.3.0

Aktualisierung der Paketabhängigkeiten: Pull-Anforderung cloudflare/workers-sdk#9608 an create-cloudflare (c3) zur Verwendung der korrigierten Version des Cloudflare-Adapters für Open Next. Die gepatchte Version von create-cloudflare finden Sie unter create-cloudflare@2.49.3.

Zusätzlich zu den automatischen Abhilfemaßnahmen, die auf der Cloudflare-Plattform bereitgestellt werden, empfehlen wir betroffenen Benutzern, ein Upgrade auf @opennext/cloudflare v1.3.0 durchzuführen und den Filter „remotePatterns“ in der Next-Konfiguration zu verwenden, wenn sie externe URLs mit Bild-Assets in die Zulassungsliste aufnehmen müssen.

References

https://www.cve.org/cverecord?id=CVE-2025-6087

Bild/Quelle: https://depositphotos.com/de/home.html