Dopad
Útočník může obejít bezpečnostní logiku a kontroly autorizace v aplikacích Next.js a potenciálně tak získat plný přístup k omezeným zdrojům [S1]. Tato chyba zabezpečení je klasifikována jako kritická se skóre CVSS 9,1, protože nevyžaduje žádná oprávnění a lze ji využít v síti bez zásahu uživatele [S2].
Hlavní příčina
Tato zranitelnost pramení z toho, jak Next.js zpracovává interní dílčí požadavky v rámci své middlewarové architektury [S1]. Aplikace, které se při autorizaci spoléhají na middleware (CWE-863), jsou náchylné, pokud správně neověřují původ interních hlaviček [S2]. Konkrétně může externí útočník do svého požadavku zahrnout hlavičku x-middleware-subrequest, aby přiměl framework k tomu, aby požadavek považoval za již autorizovanou interní operaci, čímž efektivně přeskočí bezpečnostní logiku middlewaru [S1].
Jak to testuje FixVibe
FixVibe to nyní zahrnuje jako uzavřenou aktivní kontrolu. Po ověření domény vyhledá active.nextjs.middleware-bypass-cve-2025-29927 koncové body Next.js, které odmítají požadavek základní úrovně, a poté spustí úzkou kontrolní sondu pro podmínku obejití middlewaru. Hlásí se pouze tehdy, když se chráněná trasa změní z odepřeno na přístupnou způsobem konzistentním se CVE-2025-29927 a výzva k opravě se zaměřuje na nápravu upgradu Next.js a blokování interní hlavičky middlewaru na okraji, dokud není opravena.
Opravy betonu
- Upgrade Next.js: Okamžitě aktualizujte svou aplikaci na opravenou verzi: 12.3.5, 13.5.9, 14.2.25 nebo 15.2.3 [S1, S2].
- Ruční filtrování záhlaví: Pokud není možný okamžitý upgrade, nakonfigurujte bránu firewall webových aplikací (WAF) nebo reverzní proxy tak, aby odstranila záhlaví
x-middleware-subrequestze všech příchozích externích požadavků, než se dostanou na server [S1]. - Nasazení Vercel: Nasazení hostovaná na Vercel jsou proaktivně chráněna firewallem platformy [S2].