Anymah a écrit :
Hello !
Je viens de lire un article sur le sujet. La taille est très critique (CVSS de niveau 10/10). Et donc sur un Framework aussi populaire, ça fait mal !
Je te confirme qu'elle est très critique. C'est la raison pour laquelle, j'ai écrit ce sujet sur le forum. Elle n'est pas si compliquée que ça à exploiter. Tu attaques un formulaire via un server en local et dans ton script, tu crées un objet static avec une nomenclature précise (ce qu'attend Nextjs). Dans cet objet statique, tu crées une closure et dans cette dernière, tu fais ce que tu veux avec les cmd NodeJS. Tu récupères, les env, détruis la bdd, récupères les données de la bdd, supprimes des fichiers de l'app, etc. Par contre, tu ne peux pas faire une élévation de privilèges. Ce serait un eval() (implémenté dans les server component function), la cause du problème.
Anymah a écrit :
La taille
?
Modifié par Niuxe (15 Dec 2025 - 13:14)
Tu ne peux pas faire une élévation de privilèges, mais si par malheur tu as lancé ton application en root, alors le pirate à gagné le jackpot haha 
Y'a des bonnes pratiques de sécurité simples, et pourtant dans l'articles que j'ai lu, ils font mention d'une entreprise qui s'est retrouvée à miner de la crypto à son insu à cause d'une dépendance simple dépendance React.
Well ! That escalated quickly !
Y'a des bonnes pratiques de sécurité simples, et pourtant dans l'articles que j'ai lu, ils font mention d'une entreprise qui s'est retrouvée à miner de la crypto à son insu à cause d'une dépendance simple dépendance React.
Well ! That escalated quickly !