FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Middleware-Autorisierungsumgehung

Eine kritische Schwachstelle in Next.js ermöglicht es Angreifern, in Middleware implementierte Autorisierungsprüfungen zu umgehen. Durch das Spoofing interner Header können externe Anfragen als autorisierte Unteranfragen getarnt werden, was zu unbefugtem Zugriff auf geschützte Routen und Daten führt.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Auswirkungen

Ein Angreifer kann die Sicherheitslogik und Autorisierungsprüfungen in Next.js-Anwendungen umgehen und möglicherweise vollen Zugriff auf eingeschränkte Ressourcen [S1] erhalten. Diese Schwachstelle wird mit einem CVSS-Score von 9,1 als kritisch eingestuft, da sie keine Berechtigungen erfordert und über das Netzwerk ohne Benutzerinteraktion ausgenutzt werden kann [S2].

Grundursache

Die Schwachstelle ergibt sich aus der Art und Weise, wie Next.js interne Unteranfragen innerhalb seiner Middleware-Architektur [S1] verarbeitet. Anwendungen, die für die Autorisierung auf Middleware angewiesen sind (CWE-863), sind anfällig, wenn sie den Ursprung der internen Header [S2] nicht ordnungsgemäß validieren. Insbesondere kann ein externer Angreifer den x-middleware-subrequest-Header in seine Anfrage einfügen, um das Framework dazu zu bringen, die Anfrage als bereits autorisierte interne Operation zu behandeln und so effektiv die Sicherheitslogik [S1] der Middleware zu überspringen.

Wie FixVibe darauf testet

FixVibe beinhaltet dies jetzt als geschlossene aktive Prüfung. Nach der Domänenüberprüfung sucht active.nextjs.middleware-bypass-cve-2025-29927 nach Next.js-Endpunkten, die eine Basisanforderung ablehnen, und führt dann eine enge Kontrollprüfung für die Middleware-Umgehungsbedingung durch. Es wird nur gemeldet, wenn die geschützte Route im Einklang mit CVE-2025-29927 von „verweigert“ in „zugänglich“ wechselt, und die Korrekturaufforderung konzentriert sich weiterhin auf die Aktualisierung von Next.js und das Blockieren des internen Middleware-Headers am Edge, bis ein Patch installiert ist.

Konkrete Korrekturen

  • Upgrade Next.js: Aktualisieren Sie Ihre Anwendung sofort auf eine gepatchte Version: 12.3.5, 13.5.9, 14.2.25 oder 15.2.3 [S1, S2].
  • Manuelle Header-Filterung: Wenn ein sofortiges Upgrade nicht möglich ist, konfigurieren Sie Ihre Web Application Firewall (WAF) oder Ihren Reverse-Proxy so, dass der x-middleware-subrequest-Header von allen eingehenden externen Anforderungen entfernt wird, bevor sie den Next.js-Server [S1] erreichen.
  • Vercel-Bereitstellung: Auf Vercel gehostete Bereitstellungen werden proaktiv durch die Firewall der Plattform [S2] geschützt.