Next.js CVE-2026-44578 : une SSRF via WebSocket sur les instances auto-hébergées
> En bref : CVE-2026-44578 permet à un attaquant non authentifié de faire proxifier des requêtes par votre serveur Next.js auto-hébergé, via des requêtes WebSocket forgées. CVSS 8.6, uniquement sur les instances auto-hébergées (le serveur Node.js intégré). Correctif : Next.js 15.5.16 et 16.2.5.
Pourquoi ça vous concerne
Next.js est partout dans les SaaS RH modernes : c'est le framework par défaut pour un frontend rapide adossé à une API. La plupart des équipes déploient sur Vercel, mais un nombre croissant d'éditeurs auto-hébergent — sur un VPS, dans un conteneur Docker, derrière leur propre reverse proxy — pour des raisons de coût, de souveraineté des données ou d'hébergement en France.
Cette CVE ne touche que ce second cas. Et c'est justement le cas où on l'oublie le plus facilement.
La faille en deux phrases
Le serveur Node.js intégré de Next.js gère les mises à niveau WebSocket. Sur les versions 13.4.13 à 15.5.15 et 16.2.4, une requête d'upgrade WebSocket forgée peut amener le serveur à établir une connexion vers une destination arbitraire — interne ou externe — choisie par l'attaquant.
Autrement dit : c'est une {SSRF}. Votre serveur devient un relais qui émet des requêtes en votre nom, depuis l'intérieur de votre réseau.
Ce qu'un attaquant en fait
Une SSRF depuis un serveur applicatif est rarement une fin en soi — c'est un point de pivot. Les cibles classiques :
169.254.169.254 sur AWS, GCP, Azure) : sur une configuration mal durcie, ils exposent des identifiants d'accès temporaires au compte cloud. C'est le scénario qui a mené à la fuite Capital One.Pour un éditeur RH, le risque concret est direct : depuis un frontend Next.js exposé, atteindre les briques internes qui manipulent les fiches salariés, la paie ou les bases candidats.
« On est sur Vercel », donc pas concerné ?
Correct — les déploiements Vercel ne sont pas affectés, car ils n'utilisent pas le serveur Node.js intégré. Mais avant de refermer l'onglet, posez-vous trois questions :
Ce sont exactement les surfaces qui échappent à l'inventaire et qui restent en versions vulnérables des mois après le correctif.
Quoi faire, dans l'ordre
La leçon qui dépasse cette CVE
Une SSRF ne « vole » rien directement : elle transforme votre serveur en tremplin. C'est pourquoi elle est si souvent sous-estimée en interne — le correctif règle l'instance, mais le vrai enjeu est la question qu'elle pose : *depuis ce serveur, qu'est-ce qui est atteignable ?*
Si votre frontend peut joindre vos métadonnées cloud ou vos bases internes, chaque future SSRF sera critique. C'est exactement le type de chemin d'exposition que nous cartographions en conditions réelles. Notre Premier diagnostic vérifie la surface exposée de votre application Next.js et les destinations réellement atteignables depuis vos serveurs : verdict en 48h.
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
WordPress CVE-2026-8206 : prise de contrôle admin sans authentification via le plugin Kirki
Le plugin WordPress Kirki (6.0.0 à 6.0.6) laisse un attaquant non authentifié prendre le contrôle d'un compte administrateur via un reset de mot de passe défaillant. CVSS 9.8, exploitation active, ~150 000 sites exposés. Correctif : 6.0.7.
NEXT_PUBLIC_ : quand vos variables d'environnement finissent dans le navigateur
Le préfixe NEXT_PUBLIC_ de Next.js embarque vos variables dans le bundle JavaScript envoyé à tous les visiteurs. Clés API, URLs internes, secrets Supabase : ce qu'on retrouve vraiment dans les bundles en 2026.
JavaScript et Next.js : ce que CVE-2025-29927 a change dans la discussion securite
CVE-2025-29927 a touche un composant cle de Next.js et a rappele que la logique de protection au bord de l application peut etre fragile. Voici ce que cette faille change vraiment.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.