Impact
Napadač može zaobići sigurnosnu logiku i provjere autorizacije u Next.js aplikacijama, potencijalno dobiti pun pristup ograničenim resursima [S1]. Ova ranjivost je klasifikovana kao kritična sa CVSS ocenom 9,1 jer ne zahteva nikakve privilegije i može se iskoristiti preko mreže bez interakcije korisnika [S2].
Osnovni uzrok
Ranjivost proizilazi iz toga kako Next.js obrađuje interne pod-zahtjeve unutar svoje arhitekture međuvera [S1]. Aplikacije koje se oslanjaju na međuverski softver za autorizaciju (CWE-863) su osjetljive ako ne potvrđuju ispravno porijeklo internih zaglavlja [S2]. Konkretno, eksterni napadač može uključiti zaglavlje x-middleware-subrequest u svoj zahtjev kako bi prevario okvir da tretira zahtjev kao već ovlaštenu internu operaciju, efektivno preskačući sigurnosnu logiku srednjeg softvera [S1].
Kako FixVibe testira za to
FixVibe sada uključuje ovo kao aktivnu provjeru sa ograničenjem. Nakon provjere domene, active.nextjs.middleware-bypass-cve-2025-29927 traži krajnje točke Next.js koje odbijaju osnovni zahtjev, zatim pokreće usku kontrolnu sondu za uvjet zaobilaženja međuvera. Izvještava samo kada se zaštićena ruta promijeni iz odbijene u pristupačnu na način u skladu sa CVE-2025-29927, a prompt za popravku drži popravku fokusiranom na nadogradnju Next.js i blokiranje internog zaglavlja međuvera na rubu dok se ne zakrpi.
Betonski popravci
- Nadogradnja Next.js: Odmah ažurirajte svoju aplikaciju na zakrpljenu verziju: 12.3.5, 13.5.9, 14.2.25 ili 15.2.3 [S1, S2].
- Ručno filtriranje zaglavlja: Ako trenutna nadogradnja nije moguća, konfigurirajte svoj zaštitni zid web aplikacije (WAF) ili obrnuti proxy da skine zaglavlje
x-middleware-subrequestiz svih dolaznih vanjskih zahtjeva prije nego stignu do Next.jsZVI servera ZXCVENFIX. - Vercel Implementacija: Raspoređivanja hostovana na Vercel proaktivno su zaštićena zaštitnim zidom platforme [S2].