Effaith
Gall ymosodwr osgoi gwiriadau rhesymeg diogelwch ac awdurdodi mewn cymwysiadau Next.js, gan gael mynediad llawn o bosibl at adnoddau cyfyngedig [S1]. Mae'r bregusrwydd hwn wedi'i ddosbarthu'n hanfodol gyda sgôr CVSS o 9.1 oherwydd nid oes angen unrhyw freintiau a gellir ei ecsbloetio dros y rhwydwaith heb ryngweithio â defnyddwyr [S2].
Achos Gwraidd
Mae'r bregusrwydd yn deillio o sut mae Next.js yn prosesu is-geisiadau mewnol o fewn ei bensaernïaeth canolwedd [S1]. Mae ceisiadau sy'n dibynnu ar offer canol am awdurdodiad (CWE-863) yn agored i niwed os nad ydynt yn dilysu tarddiad penawdau mewnol yn iawn [S2]. Yn benodol, gall ymosodwr allanol gynnwys y pennawd x-middleware-subrequest yn eu cais i dwyllo'r fframwaith i drin y cais fel gweithrediad mewnol sydd eisoes wedi'i awdurdodi, gan hepgor i bob pwrpas rhesymeg diogelwch y nwyddau canol [S1].
Sut mae FixVibe yn ei brofi
Mae FixVibe bellach yn cynnwys hwn fel gwiriad gweithredol â gatiau. Ar ôl dilysu parth, mae active.nextjs.middleware-bypass-cve-2025-29927 yn edrych am bwyntiau terfyn Next.js sy'n gwadu cais llinell sylfaen, yna'n rhedeg stiliwr rheoli cul ar gyfer cyflwr ffordd osgoi nwyddau canol. Mae'n adrodd dim ond pan fydd y llwybr gwarchodedig yn newid o fod wedi'i wrthod i fod yn hygyrch mewn ffordd sy'n gyson â CVE-2025-29927, ac mae'r anogwr atgyweiriad yn cadw'r gwaith adfer yn canolbwyntio ar uwchraddio Next.js a rhwystro'r pennawd nwyddau canol mewnol ar yr ymyl nes ei fod yn glytiog.
Atgyweiriadau Concrit
- Uwchraddio Next.js: Diweddarwch eich cais ar unwaith i fersiwn glytiog: 12.3.5, 13.5.9, 14.2.25, neu 15.2.3 [S1, S2].
- Hidlo Pennawd â Llaw: Os nad yw uwchraddio ar unwaith yn bosibl, ffurfweddwch eich Web Application Firewall (WAF) neu wrthdroi dirprwy i dynnu'r pennawd
x-middleware-subrequesto bob cais allanol sy'n dod i mewn cyn iddynt gyrraedd gweinydd Next.js ZXCVFIXZVIBETOKEN. - Defnyddio Vercel: Mae gosodiadau a gynhelir ar Vercel yn cael eu hamddiffyn yn rhagweithiol gan wal dân y platfform [S2].