FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Bypass d'autorització de programari intermedi

Una vulnerabilitat crítica a Next.js permet als atacants evitar les comprovacions d'autorització implementades al programari intermediari. Mitjançant la falsificació de les capçaleres internes, les sol·licituds externes es poden dissimular com a subsol·licituds autoritzades, la qual cosa comporta un accés no autoritzat a rutes i dades protegides.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impacte

Un atacant pot eludir la lògica de seguretat i les comprovacions d'autorització a les aplicacions Next.js, possiblement obtenint accés complet als recursos restringits [S1]. Aquesta vulnerabilitat es classifica com a crítica amb una puntuació CVSS de 9,1 perquè no requereix privilegis i es pot explotar a la xarxa sense la interacció de l'usuari [S2].

Causa arrel

La vulnerabilitat prové de com Next.js processa les subsol·licituds internes dins de la seva arquitectura de middleware [S1]. Les aplicacions que es basen en programari intermedi per a l'autorització (CWE-863) són susceptibles si no validen correctament l'origen de les capçaleres internes [S2]. Concretament, un atacant extern pot incloure la capçalera x-middleware-subrequest a la seva sol·licitud per enganyar el marc perquè tracti la sol·licitud com una operació interna ja autoritzada, saltant efectivament la lògica de seguretat del middleware [S1].

Com ho prova FixVibe

FixVibe ara inclou això com a comprovació activa. Després de la verificació del domini, active.nextjs.middleware-bypass-cve-2025-29927 cerca els punts finals Next.js que deneguen una sol·licitud de referència i, a continuació, executa una sonda de control estreta per a la condició de bypass de middleware. Només informa quan la ruta protegida canvia de denegada a accessible d'una manera coherent amb CVE-2025-29927, i la sol·licitud de correcció manté la correcció centrada en l'actualització de Next.js i en bloquejar la capçalera interna del programari intermedi a la vora fins que es peda.

Correccions concretes

  • Actualitzar Next.js: actualitzeu immediatament la vostra aplicació a una versió amb pedaços: 12.3.5, 13.5.9, 14.2.25 o 15.2.3 [S1, S2].
  • Filtratge manual de capçalera: si no és possible una actualització immediata, configureu el vostre tallafoc d'aplicacions web (WAF) o el servidor intermediari invers per eliminar la capçalera x-middleware-subrequest de totes les sol·licituds externes entrants abans que arribin al servidor Next.js [S1]KEN1.
  • Implementació Vercel: els desplegaments allotjats a Vercel estan protegits de manera proactiva pel tallafoc de la plataforma [S2].