CVE-2025-29927፡ Next.js ሚድዌር ፍቃድ ማለፊያ

# ተጽዕኖ አጥቂ በNext.js መተግበሪያዎች ውስጥ የደህንነት አመክንዮ እና የፍቃድ ፍተሻዎችን ማለፍ ይችላል፣ ይህም የተከለከሉ ሀብቶች [S1] ሙሉ መዳረሻ ማግኘት ይችላል። ይህ ተጋላጭነት በሲቪኤስኤስ ነጥብ 9.1 ወሳኝ ተብሎ ተመድቧል ምክንያቱም ምንም ልዩ መብት ስለማይፈልግ እና ያለተጠቃሚ መስተጋብር በአውታረ መረቡ ላይ ጥቅም ላይ ሊውል ይችላል [S2]።

የስር መንስኤ

ተጋላጭነቱ የሚመነጨው Next.js በመሃል ዌር አርክቴክቸር [S1] ውስጥ የውስጥ ንዑስ ጥያቄዎችን እንዴት እንደሚያስኬድ ነው። ለፈቃድ (CWE-863) በመካከለኛ ዌር ላይ የተመሰረቱ አፕሊኬሽኖች የውስጥ ራስጌዎችን አመጣጥ በትክክል ካላረጋገጡ ተጋላጭ ናቸው። በተለይም የውጪ አጥቂ የx-middleware-subrequest ርእሱን በማታለል ጥያቄውን እንደ ቀድሞው የተፈቀደ የውስጥ ኦፕሬሽን በማታለል የመሃከለኛ ዌርን የደህንነት አመክንዮ [S1]ን ሊያካትት ይችላል።

FixVibe እንዴት እንደሚፈትሽ

FixVibe አሁን ይህንን እንደ የተዘጋ ገባሪ ቼክ ያካትታል። ከጎራ ማረጋገጫ በኋላ፣ active.nextjs.middleware-bypass-cve-2025-29927 የመነሻ መስመር ጥያቄን የሚክዱ የNext.js የመጨረሻ ነጥቦችን ይፈልጋል፣ ከዚያ ለመሃል ዌር ማለፊያ ሁኔታ ጠባብ መቆጣጠሪያ ምርመራን ያካሂዳል። የሚዘግበው የተጠበቀው መንገድ ከተከለከለ ወደ ተደራሽነት ሲቀየር ከCVE-2025-29927 ጋር በሚጣጣም መልኩ ብቻ ነው፣ እና የመጠገን መጠየቂያው ማሻሻያ Next.jsን በማሻሻል ላይ ያተኩራል እና የውስጥ መካከለኛ ዌር ራስጌን በጠርዙ ላይ እስኪጠግን ድረስ ይዘጋል።

ኮንክሪት ጥገናዎች

• አሻሽል Next.js፡ ወዲያውኑ ማመልከቻዎን ወደ ተለጠፈ ስሪት ያዘምኑ፡ 12.3.5፣ 13.5.9፣ 14.2.25፣ ወይም 15.2.3 [S1፣ S2]።
• በእጅ ራስጌ ማጣራት፡ አፋጣኝ ማሻሻል የማይቻል ከሆነ የx-middleware-subrequest ራስጌ ከሁሉም ገቢ የውጭ ጥያቄዎች የNext.js አገልጋዩ ZXCVFIXVIBETOKENVTOKENVIBETOKENVIBETOKEN.
• Vercel ማሰማራት: በVercel ላይ የሚስተናገዱ ማሰማራቶች በመድረክ ፋየርዎል [S2] በንቃት ይጠበቃሉ።