Indvirkning
En hacker kan omgå sikkerhedslogik og godkendelsestjek i Next.js-applikationer og potentielt få fuld adgang til begrænsede ressourcer [S1]. Denne sårbarhed er klassificeret som kritisk med en CVSS-score på 9.1, fordi den ikke kræver nogen privilegier og kan udnyttes over netværket uden brugerinteraktion [S2].
Grundårsag
Sårbarheden stammer fra, hvordan Next.js behandler interne underanmodninger inden for sin middleware-arkitektur [S1]. Programmer, der er afhængige af middleware for godkendelse (CWE-863), er modtagelige, hvis de ikke korrekt validerer oprindelsen af interne headers [S2]. Specifikt kan en ekstern angriber inkludere x-middleware-subrequest-headeren i deres anmodning for at narre rammen til at behandle anmodningen som en allerede autoriseret intern operation, og dermed springe mellemwarens sikkerhedslogik [S1] over.
Hvordan FixVibe tester for det
FixVibe inkluderer nu dette som en gated aktiv check. Efter domænebekræftelse søger active.nextjs.middleware-bypass-cve-2025-29927 efter Next.js-slutpunkter, der afviser en baseline-anmodning, og kører derefter en smal kontrolprobe for middleware-bypass-tilstanden. Den rapporterer kun, når den beskyttede rute ændres fra nægtet til tilgængelig på en måde, der stemmer overens med CVE-2025-29927, og rettelsesprompten holder udbedring fokuseret på at opgradere Next.js og blokere den interne middleware-header ved kanten, indtil den er lappet.
Konkrete rettelser
- Opgrader Next.js: Opdater straks din applikation til en patchet version: 12.3.5, 13.5.9, 14.2.25 eller 15.2.3 [S1, S2].
- Manuel header-filtrering: Hvis en øjeblikkelig opgradering ikke er mulig, skal du konfigurere din Web Application Firewall (WAF) eller omvendt proxy til at fjerne
x-middleware-subrequest-headeren fra alle indkommende eksterne anmodninger, før de når Next.js-serveren [S1]. - Vercel Implementering: Implementeringer hostet på Vercel er proaktivt beskyttet af platformens firewall [S2].