Retour au blog
CVENext.jsSSRFtechnique

Next.js CVE-2026-44578 : une SSRF via WebSocket sur les instances auto-hébergées

Publié le 2026-07-096 min de lectureCleanIssue

> En bref : CVE-2026-44578 permet à un attaquant non authentifié de faire proxifier des requêtes par votre serveur Next.js auto-hébergé, via des requêtes WebSocket forgées. CVSS 8.6, uniquement sur les instances auto-hébergées (le serveur Node.js intégré). Correctif : Next.js 15.5.16 et 16.2.5.

Pourquoi ça vous concerne

Next.js est partout dans les SaaS RH modernes : c'est le framework par défaut pour un frontend rapide adossé à une API. La plupart des équipes déploient sur Vercel, mais un nombre croissant d'éditeurs auto-hébergent — sur un VPS, dans un conteneur Docker, derrière leur propre reverse proxy — pour des raisons de coût, de souveraineté des données ou d'hébergement en France.

Cette CVE ne touche que ce second cas. Et c'est justement le cas où on l'oublie le plus facilement.

La faille en deux phrases

Le serveur Node.js intégré de Next.js gère les mises à niveau WebSocket. Sur les versions 13.4.13 à 15.5.15 et 16.2.4, une requête d'upgrade WebSocket forgée peut amener le serveur à établir une connexion vers une destination arbitraire — interne ou externe — choisie par l'attaquant.

Autrement dit : c'est une {SSRF}. Votre serveur devient un relais qui émet des requêtes en votre nom, depuis l'intérieur de votre réseau.

Ce qu'un attaquant en fait

Une SSRF depuis un serveur applicatif est rarement une fin en soi — c'est un point de pivot. Les cibles classiques :

  • Les endpoints de métadonnées cloud (169.254.169.254 sur AWS, GCP, Azure) : sur une configuration mal durcie, ils exposent des identifiants d'accès temporaires au compte cloud. C'est le scénario qui a mené à la fuite Capital One.
  • Les services internes non exposés : bases de données, files de messages, interfaces d'administration, autres microservices qui font confiance au trafic provenant du réseau interne.
  • La cartographie du réseau interne : un attaquant sonde les ports et adresses accessibles depuis votre serveur, préparant une attaque plus large.
  • Pour un éditeur RH, le risque concret est direct : depuis un frontend Next.js exposé, atteindre les briques internes qui manipulent les fiches salariés, la paie ou les bases candidats.

    « On est sur Vercel », donc pas concerné ?

    Correct — les déploiements Vercel ne sont pas affectés, car ils n'utilisent pas le serveur Node.js intégré. Mais avant de refermer l'onglet, posez-vous trois questions :

  • Avez-vous des environnements de préproduction, de démo ou de recette auto-hébergés ? Ils tournent souvent sur des instances Node.js standard, avec moins de durcissement et parfois un accès au même réseau que des données réelles.
  • Un prestataire a-t-il déployé une instance quelque part, hors de votre pipeline principal ?
  • Avez-vous des outils internes (back-office, tableaux de bord) construits en Next.js et auto-hébergés ?
  • Ce sont exactement les surfaces qui échappent à l'inventaire et qui restent en versions vulnérables des mois après le correctif.

    Quoi faire, dans l'ordre

  • Inventoriez vos instances Next.js auto-hébergées — production, préproduction, démos, outils internes, POC devenus permanents. Notez la version de chacune.
  • Mettez à jour en 15.5.16 / 16.2.5 ou plus. Cette version fait partie de la release de sécurité Next.js de mai 2026, qui corrige aussi plusieurs contournements de middleware et une faille de déni de service : traitez le lot d'un coup.
  • Durcissez l'accès aux métadonnées cloud : IMDSv2 obligatoire sur AWS, restrictions équivalentes sur GCP et Azure. Une SSRF sans accès aux métadonnées est bien moins dangereuse.
  • Segmentez : votre frontend n'a aucune raison d'atteindre librement vos bases de données et vos interfaces d'administration internes. Une politique réseau restrictive limite l'impact d'une SSRF, quelle qu'en soit la source.
  • Cherchez des traces : requêtes d'upgrade WebSocket anormales dans vos logs, connexions sortantes inattendues depuis vos serveurs applicatifs.
  • La leçon qui dépasse cette CVE

    Une SSRF ne « vole » rien directement : elle transforme votre serveur en tremplin. C'est pourquoi elle est si souvent sous-estimée en interne — le correctif règle l'instance, mais le vrai enjeu est la question qu'elle pose : *depuis ce serveur, qu'est-ce qui est atteignable ?*

    Si votre frontend peut joindre vos métadonnées cloud ou vos bases internes, chaque future SSRF sera critique. C'est exactement le type de chemin d'exposition que nous cartographions en conditions réelles. Notre Premier diagnostic vérifie la surface exposée de votre application Next.js et les destinations réellement atteignables depuis vos serveurs : verdict en 48h.

    Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit