Въздействие
Нападателят може да заобиколи логиката за сигурност и проверките за оторизация в Next.js приложения, като потенциално получава пълен достъп до ограничени ресурси [S1]. Тази уязвимост е класифицирана като критична с CVSS оценка 9,1, тъй като не изисква привилегии и може да бъде използвана през мрежата без потребителско взаимодействие [S2].
Първопричина
Уязвимостта произтича от начина, по който Next.js обработва вътрешни под-заявки в рамките на своята междинна архитектура [S1]. Приложенията, които разчитат на междинен софтуер за оторизация (CWE-863), са податливи, ако не валидират правилно произхода на вътрешните заглавки [S2]. По-конкретно, външен атакуващ може да включи заглавката x-middleware-subrequest в своята заявка, за да подмами рамката да третира заявката като вече разрешена вътрешна операция, като ефективно прескача логиката за сигурност на междинния софтуер [S1].
Как FixVibe го тества
FixVibe вече включва това като затворена активна проверка. След проверка на домейна, active.nextjs.middleware-bypass-cve-2025-29927 търси Next.js крайни точки, които отказват базова заявка, след което изпълнява тясна контролна сонда за условието за заобикаляне на междинния софтуер. Той докладва само когато защитеният маршрут се промени от отказан на достъпен по начин, съвместим с CVE-2025-29927, а подканата за корекция поддържа коригирането фокусирано върху надграждането на Next.js и блокиране на вътрешната заглавка на междинния софтуер на ръба, докато не бъде коригирана.
Конкретни поправки
- Надстройте Next.js: Незабавно актуализирайте приложението си до версия с корекция: 12.3.5, 13.5.9, 14.2.25 или 15.2.3 [S1, S2].
- Ръчно филтриране на заглавки: Ако не е възможно незабавно надграждане, конфигурирайте вашата защитна стена за уеб приложения (WAF) или обратен прокси, за да премахне заглавката
x-middleware-subrequestот всички входящи външни заявки, преди те да достигнат Next.js сървъра [S1]. - Внедряване на Vercel: Внедряванията, хоствани на Vercel, са проактивно защитени от защитната стена на платформата [S2].