FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Bypass d'Autorizazione di Middleware

Una vulnerabilità critica in Next.js permette à l'attaccanti di scaccià i cuntrolli d'autorizazione implementati in middleware. Spoofing headers interni, e dumande esterne ponu mascherate cum'è sub-richieste autorizate, purtendu à l'accessu micca autorizatu à rotte è dati prutetti.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impattu

Un attaccu pò scaccià a logica di sicurità è i cuntrolli di l'autorizazione in l'applicazioni Next.js, possibbilmente ottene un accessu cumpletu à e risorse ristrette [S1]. Questa vulnerabilità hè classificata cum'è critica cù un punteggio CVSS di 9.1 perchè ùn esige micca privilegi è pò esse sfruttatu nantu à a reta senza interazzione di l'utilizatori [S2].

Causa Root

A vulnerabilità deriva da cumu Next.js processa e sotto-richieste interne in a so architettura middleware [S1]. L'applicazioni chì si basanu in middleware per l'autorizazione (CWE-863) sò suscettibili s'ellu ùn validanu micca bè l'origine di l'intestazione interna [S2]. In particulare, un attaccu esterno pò include l'intestazione x-middleware-subrequest in a so dumanda per ingannà u quadru per trattà a dumanda cum'è una operazione interna digià autorizata, saltendu in modu efficace a logica di sicurità di u middleware [S1].

Cumu FixVibe prova per questu

FixVibe include avà questu cum'è un cuntrollu attivu gated. Dopu a verificazione di u duminiu, active.nextjs.middleware-bypass-cve-2025-29927 cerca Next.js endpoints chì deneganu una dumanda di basa, poi eseguisce una sonda di cuntrollu strettu per a cundizione di bypass di middleware. Riporta solu quandu a strada prutetta cambia da denegata à accessibile in una manera coherente cù CVE-2025-29927, è u prompt di correzione mantene a rimediazione focu annantu à l'aghjurnamentu di Next.js è bluccà l'intestazione di middleware internu à u bordu finu à u patch.

Correzioni Concrete

  • Upgrade Next.js: Aghjurnate immediatamente a vostra applicazione à una versione patched: 12.3.5, 13.5.9, 14.2.25, o 15.2.3 [S1, S2].
  • Filtramentu manuale di l'intestazione: Se un aghjurnamentu immediatu ùn hè micca pussibule, cunfigurà u vostru Firewall di l'Applicazione Web (WAF) o un proxy inversu per sguassate l'intestazione x-middleware-subrequest da tutte e dumande esterne entranti prima ch'elli ghjunghjenu à u servitore Next.js [S1].
  • Vercel Deployment: I dispiegamenti ospitati in Vercel sò prutetti in modu proattivu da u firewall di a piattaforma [S2].