Vulnerability Details CVE-2020-5284
Next.js versions before 9.3.2 have a directory traversal vulnerability. Attackers could craft special requests to access files in the dist directory (.next). This does not affect files outside of the dist directory (.next). In general, the dist directory only holds build assets unless your application intentionally stores other assets under this directory. This issue is fixed in version 9.3.2.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.773
EPSS Ranking 98.9%
CVSS Severity
CVSS v3 Score 4.4
CVSS v2 Score 5.0
References
Products affected by CVE-2020-5284
-
cpe:2.3:a:zeit:next.js:1.0.0
-
cpe:2.3:a:zeit:next.js:1.0.1
-
cpe:2.3:a:zeit:next.js:1.0.2
-
cpe:2.3:a:zeit:next.js:1.1.0
-
cpe:2.3:a:zeit:next.js:1.1.1
-
cpe:2.3:a:zeit:next.js:1.1.2
-
cpe:2.3:a:zeit:next.js:1.2.0
-
cpe:2.3:a:zeit:next.js:1.2.1
-
cpe:2.3:a:zeit:next.js:1.2.2
-
cpe:2.3:a:zeit:next.js:1.2.3
-
cpe:2.3:a:zeit:next.js:2.0.0
-
cpe:2.3:a:zeit:next.js:2.0.1
-
cpe:2.3:a:zeit:next.js:2.1.0
-
cpe:2.3:a:zeit:next.js:2.1.1
-
cpe:2.3:a:zeit:next.js:2.2.0
-
cpe:2.3:a:zeit:next.js:2.3.0
-
cpe:2.3:a:zeit:next.js:2.3.1
-
cpe:2.3:a:zeit:next.js:2.3.2
-
cpe:2.3:a:zeit:next.js:2.4.0
-
cpe:2.3:a:zeit:next.js:2.4.1
-
cpe:2.3:a:zeit:next.js:2.4.2
-
cpe:2.3:a:zeit:next.js:2.4.3
-
cpe:2.3:a:zeit:next.js:2.4.4
-
cpe:2.3:a:zeit:next.js:2.4.5
-
cpe:2.3:a:zeit:next.js:2.4.6
-
cpe:2.3:a:zeit:next.js:2.4.7
-
cpe:2.3:a:zeit:next.js:2.4.8
-
cpe:2.3:a:zeit:next.js:2.4.9
-
cpe:2.3:a:zeit:next.js:3.0.0
-
cpe:2.3:a:zeit:next.js:3.0.1
-
cpe:2.3:a:zeit:next.js:3.0.2
-
cpe:2.3:a:zeit:next.js:3.0.3
-
cpe:2.3:a:zeit:next.js:3.0.4
-
cpe:2.3:a:zeit:next.js:3.0.5
-
cpe:2.3:a:zeit:next.js:3.0.6
-
cpe:2.3:a:zeit:next.js:3.1.0
-
cpe:2.3:a:zeit:next.js:3.2.0
-
cpe:2.3:a:zeit:next.js:3.2.1
-
cpe:2.3:a:zeit:next.js:3.2.2
-
cpe:2.3:a:zeit:next.js:3.2.3
-
cpe:2.3:a:zeit:next.js:4.0.0
-
cpe:2.3:a:zeit:next.js:4.0.1
-
cpe:2.3:a:zeit:next.js:4.0.2
-
cpe:2.3:a:zeit:next.js:4.0.3
-
cpe:2.3:a:zeit:next.js:4.0.4
-
cpe:2.3:a:zeit:next.js:4.0.5
-
cpe:2.3:a:zeit:next.js:4.1.0
-
cpe:2.3:a:zeit:next.js:4.1.1
-
cpe:2.3:a:zeit:next.js:4.1.2
-
cpe:2.3:a:zeit:next.js:4.1.3
-
cpe:2.3:a:zeit:next.js:4.1.4
-
cpe:2.3:a:zeit:next.js:4.2.0
-
cpe:2.3:a:zeit:next.js:4.2.1
-
cpe:2.3:a:zeit:next.js:4.2.2
-
cpe:2.3:a:zeit:next.js:4.2.3
-
cpe:2.3:a:zeit:next.js:5.0.0
-
cpe:2.3:a:zeit:next.js:5.1.0
-
cpe:2.3:a:zeit:next.js:6.0.0
-
cpe:2.3:a:zeit:next.js:6.0.1
-
cpe:2.3:a:zeit:next.js:6.0.2
-
cpe:2.3:a:zeit:next.js:6.0.3
-
cpe:2.3:a:zeit:next.js:6.1.0
-
cpe:2.3:a:zeit:next.js:6.1.1
-
cpe:2.3:a:zeit:next.js:6.1.2
-
cpe:2.3:a:zeit:next.js:7.0.0
-
cpe:2.3:a:zeit:next.js:7.0.1
-
cpe:2.3:a:zeit:next.js:7.0.2
-
cpe:2.3:a:zeit:next.js:7.0.3
-
cpe:2.3:a:zeit:next.js:8.0.0
-
cpe:2.3:a:zeit:next.js:8.0.1
-
cpe:2.3:a:zeit:next.js:8.0.2
-
cpe:2.3:a:zeit:next.js:8.0.3
-
cpe:2.3:a:zeit:next.js:8.0.4
-
cpe:2.3:a:zeit:next.js:8.1.0
-
cpe:2.3:a:zeit:next.js:9.0.0
-
cpe:2.3:a:zeit:next.js:9.0.1
-
cpe:2.3:a:zeit:next.js:9.0.2
-
cpe:2.3:a:zeit:next.js:9.0.3
-
cpe:2.3:a:zeit:next.js:9.0.4
-
cpe:2.3:a:zeit:next.js:9.0.5
-
cpe:2.3:a:zeit:next.js:9.0.6
-
cpe:2.3:a:zeit:next.js:9.0.7
-
cpe:2.3:a:zeit:next.js:9.0.8
-
cpe:2.3:a:zeit:next.js:9.1.0
-
cpe:2.3:a:zeit:next.js:9.1.1
-
cpe:2.3:a:zeit:next.js:9.1.2
-
cpe:2.3:a:zeit:next.js:9.1.3
-
cpe:2.3:a:zeit:next.js:9.1.4
-
cpe:2.3:a:zeit:next.js:9.1.5
-
cpe:2.3:a:zeit:next.js:9.1.6
-
cpe:2.3:a:zeit:next.js:9.1.7
-
cpe:2.3:a:zeit:next.js:9.2.0
-
cpe:2.3:a:zeit:next.js:9.2.1
-
cpe:2.3:a:zeit:next.js:9.2.2
-
cpe:2.3:a:zeit:next.js:9.3.0
-
cpe:2.3:a:zeit:next.js:9.3.1