Уплыў
Зламыснік можа абыйсці логіку бяспекі і праверку аўтарызацыі ў праграмах Next.js, патэнцыйна атрымаўшы поўны доступ да абмежаваных рэсурсаў [S1]. Гэтая ўразлівасць класіфікуецца як крытычная з балам CVSS 9,1, таму што яна не патрабуе прывілеяў і можа выкарыстоўвацца па сетцы без узаемадзеяння карыстальніка [S2].
Першапрычына
Уразлівасць звязана з тым, як Next.js апрацоўвае ўнутраныя падзапыты ў сваёй архітэктуры прамежкавага ПЗ [S1]. Прыкладанні, якія для аўтарызацыі абапіраюцца на прамежкавае праграмнае забеспячэнне (CWE-863), успрымальныя, калі яны не правяраюць належным чынам паходжанне ўнутраных загалоўкаў [S2]. У прыватнасці, знешні зламыснік можа ўключыць у свой запыт загаловак x-middleware-subrequest, каб прымусіць фрэймворк разглядаць запыт як ужо аўтарызаваную ўнутраную аперацыю, фактычна прапускаючы логіку бяспекі прамежкавага праграмнага забеспячэння [S1].
Як FixVibe правярае гэта
FixVibe цяпер уключае гэта як закрытую актыўную праверку. Пасля праверкі дамена active.nextjs.middleware-bypass-cve-2025-29927 шукае канчатковыя кропкі Next.js, якія адмаўляюць базавы запыт, а затым запускае вузкае кантрольнае даследаванне для ўмовы абыходу прамежкавага праграмнага забеспячэння. Ён паведамляе толькі тады, калі абаронены маршрут змяняецца з забароненага на даступны ў адпаведнасці з CVE-2025-29927, а падказка аб выпраўленні засяроджвае выпраўленне на абнаўленні Next.js і блакаванні ўнутранага загалоўка прамежкавага праграмнага забеспячэння на краі, пакуль не будзе выпраўлена.
Канкрэтныя выпраўленні
- Абнавіць Next.js: Неадкладна абнавіце сваю праграму да выпраўленай версіі: 12.3.5, 13.5.9, 14.2.25 або 15.2.3 [S1, S2].
- Ручная фільтрацыя загалоўкаў: калі неадкладнае абнаўленне немагчыма, наладзьце брандмаўэр вэб-прыкладанняў (WAF) або зваротны проксі-сервер, каб выдаліць загаловак
x-middleware-subrequestз усіх уваходных знешніх запытаў, перш чым яны дасягнуць сервера Next.js [S1]. - Разгортванне Vercel: разгортванні, размешчаныя на Vercel, прэвентыўна абаронены брандмаўэрам платформы [S2].