Next.js 漏洞可使攻击者绕过中间件授权检测
转至:thehackernews
编写:factor
关注我,后续将更进此漏洞
2025 年 4 月 4 日
Next.js React 框架中披露了一个严重的安全漏洞,该漏洞可能在某些条件下被利用来绕过授权检查。
该漏洞的编号为CVE-2025-29927,CVSS 评分为 9.1(满分 10.0)。
Next.js在一份公告中表示: “Next.js 使用内部标头 x-middleware-subrequest 来防止递归请求触发无限循环。”
“可以跳过运行中间件,这可以让请求在到达路由之前跳过关键检查(例如授权 cookie 验证)。”
值得注意的是,CVE-2025-29927 仅影响使用“next start”和“output: standalone”的自托管版本。托管在 Vercel 和 Netlify 上或作为静态导出部署的 Next.js 应用程序不受影响。
该缺陷已在版本 12.3.5、13.5.9、14.2.25 和 15.2.3 中得到解决。如果无法修补,建议用户阻止包含 x-middleware-subrequest 标头的外部用户请求到达 Next.js 应用程序。
网络安全安全研究员 Rachid Allam(又名 zhero 和 cold-try)被发现并报告了该漏洞,此后他发布了该漏洞的更多技术细节,要求用户迅速采取行动进行修复。
JFrog表示:“该漏洞允许攻击者轻松绕过 Next.js 中间件中执行的授权检查,从而可能允许攻击者访问为管理员或其他高权限用户保留的敏感网页。”
该公司还表示,任何利用中间件授权用户而无需任何额外授权检查的主机网站都容易受到 CVE-2025-29927 的攻击,这可能使攻击者能够访问未经授权的资源(例如管理页面)。
)
