প্রভাব
একজন আক্রমণকারী Next.js অ্যাপ্লিকেশনগুলিতে নিরাপত্তা যুক্তি এবং অনুমোদনের চেকগুলিকে বাইপাস করতে পারে, সম্ভাব্যভাবে সীমিত সম্পদ [S1]-এ সম্পূর্ণ অ্যাক্সেস লাভ করতে পারে৷ এই দুর্বলতাকে 9.1 এর CVSS স্কোরের সাথে সমালোচনামূলক হিসাবে শ্রেণীবদ্ধ করা হয়েছে কারণ এটির জন্য কোন সুবিধার প্রয়োজন নেই এবং ব্যবহারকারীর মিথস্ক্রিয়া [S2] ছাড়াই নেটওয়ার্কের মাধ্যমে ব্যবহার করা যেতে পারে।
মূল কারণ
Next.js কীভাবে তার মিডলওয়্যার আর্কিটেকচার [S1]-এর মধ্যে অভ্যন্তরীণ সাব-রিকোয়েস্টগুলি প্রক্রিয়া করে তার থেকে দুর্বলতা তৈরি হয়। অনুমোদনের জন্য মিডলওয়্যারের উপর নির্ভর করে এমন অ্যাপ্লিকেশনগুলি (CWE-863) যদি তারা অভ্যন্তরীণ হেডার [S2]-এর উৎপত্তি সঠিকভাবে যাচাই না করে তবে সেগুলি সংবেদনশীল৷ বিশেষভাবে, একটি বহিরাগত আক্রমণকারী তাদের অনুরোধে x-middleware-subrequest শিরোনাম অন্তর্ভুক্ত করতে পারে যাতে ফ্রেমওয়ার্কটিকে একটি ইতিমধ্যে-অনুমোদিত অভ্যন্তরীণ ক্রিয়াকলাপ হিসাবে বিবেচনা করে, কার্যকরভাবে মিডলওয়্যারের নিরাপত্তা যুক্তি [S1] এড়িয়ে যায়৷
কিভাবে FixVibe এর জন্য পরীক্ষা করে
FixVibe এখন এটি একটি গেটেড সক্রিয় চেক হিসাবে অন্তর্ভুক্ত করে। ডোমেন যাচাইকরণের পরে, active.nextjs.middleware-bypass-cve-2025-29927 Next.js এন্ডপয়েন্টের সন্ধান করে যা একটি বেসলাইন অনুরোধ অস্বীকার করে, তারপর মিডলওয়্যার বাইপাস অবস্থার জন্য একটি সংকীর্ণ নিয়ন্ত্রণ অনুসন্ধান চালায়। এটি শুধুমাত্র তখনই রিপোর্ট করে যখন সুরক্ষিত রুটটি CVE-2025-29927-এর সাথে সামঞ্জস্যপূর্ণভাবে অস্বীকৃত থেকে অ্যাক্সেসযোগ্যে পরিবর্তিত হয় এবং ফিক্স প্রম্পট Next.js আপগ্রেড করার উপর এবং প্যাচ না হওয়া পর্যন্ত অভ্যন্তরীণ মিডলওয়্যার হেডারকে প্রান্তে ব্লক করার উপর প্রতিকারের উপর দৃষ্টি নিবদ্ধ করে।
কংক্রিট ফিক্স
- Next.js আপগ্রেড করুন: অবিলম্বে আপনার অ্যাপ্লিকেশনটিকে একটি প্যাচ করা সংস্করণে আপডেট করুন: 12.3.5, 13.5.9, 14.2.25, বা 15.2.3 [S1, S2]৷
- ম্যানুয়াল হেডার ফিল্টারিং: যদি অবিলম্বে আপগ্রেড করা সম্ভব না হয়, তাহলে
x-middleware-subrequestশিরোনামটিx-middleware-subrequestসার্ভারে পৌঁছানোর আগে আপনার ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) কনফিগার করুন [S1]. - Vercel স্থাপনা: Vercel তে হোস্ট করা স্থাপনাগুলি প্ল্যাটফর্মের ফায়ারওয়াল [S2] দ্বারা সক্রিয়ভাবে সুরক্ষিত।