Assetnote 的安全研究人员在 NextJS 框架中发现了一个严重的服务器端请求伪造 (SSRF) 漏洞，编号为 CVE-2024-34351。目前该漏洞已在  NextJS 版本 14.1.1 中进行了修补。 根据介绍，SSRF 漏洞源于 NextJS 内置的图像优化组件，该组件允许开发人员提供来自不同域的图像。通过将特定域列入白名单甚至允许所有 URL，开发人员会无意中将其应用程序暴露于