impak
'n Aanvaller kan sekuriteitslogika en magtigingskontroles in Next.js-toepassings omseil, wat moontlik volle toegang tot beperkte hulpbronne [S1] verkry. Hierdie kwesbaarheid word as kritiek geklassifiseer met 'n CVSS-telling van 9.1 omdat dit geen voorregte vereis nie en oor die netwerk uitgebuit kan word sonder gebruikersinteraksie [S2].
Oorsaak
Die kwesbaarheid spruit uit hoe Next.js interne subversoeke binne sy middelware-argitektuur [S1] verwerk. Toepassings wat staatmaak op middelware vir magtiging (CWE-863) is vatbaar as hulle nie die oorsprong van interne opskrifte [S2] behoorlik bevestig nie. Spesifiek, 'n eksterne aanvaller kan die x-middleware-subrequest-opskrif in hul versoek insluit om die raamwerk te mislei om die versoek as 'n reeds gemagtigde interne bewerking te hanteer, en effektief die middelware se sekuriteitslogika [S1] oorslaan.
Hoe FixVibe daarvoor toets
FixVibe sluit dit nou as 'n omheinde aktiewe tjek in. Na domeinverifikasie, soek active.nextjs.middleware-bypass-cve-2025-29927 vir Next.js-eindpunte wat 'n basislynversoek weier, en voer dan 'n nou beheerondersoek uit vir die middelware-omleidingstoestand. Dit rapporteer slegs wanneer die beskermde roete verander van geweier na toeganklik op 'n manier wat ooreenstem met CVE-2025-29927, en die regstellingsboodskap hou herstel gefokus op die opgradering van Next.js en blokkeer die interne middelware-kopskrif aan die rand totdat dit gelap is.
Betonoplossings
- Gradeer Next.js op op: Dateer jou toepassing onmiddellik op na 'n reggemaakte weergawe: 12.3.5, 13.5.9, 14.2.25 of 15.2.3 [S1, S2].
- Handmatige kopfiltering: As 'n onmiddellike opgradering nie moontlik is nie, stel jou Web Application Firewall (WAF) of omgekeerde instaanbediener op om die
x-middleware-subrequest-kopskrif van alle inkomende eksterne versoeke te stroop voordat hulle die Next.js-bediener [S1] bereik. - Vercel-ontplooiing: Ontplooiings wat op Vercel aangebied word, word proaktief beskerm deur die platform se firewall [S2].