Mõju
Ründaja saab rakendustes Next.js turvaloogikast ja autoriseerimiskontrollidest mööda minna, omandades potentsiaalselt täieliku juurdepääsu piiratud ressurssidele [S1]. See haavatavus on klassifitseeritud kriitiliseks CVSS-i skooriga 9,1, kuna see ei nõua õigusi ja seda saab võrgu kaudu ära kasutada ilma kasutaja sekkumiseta. [S2].
Algpõhjus
Haavatavus tuleneb sellest, kuidas Next.js töötleb oma vahevara arhitektuuri [S1] sisemisi alamtaotlusi. Rakendused, mis kasutavad autoriseerimiseks vahevara (CWE-863), on vastuvõtlikud, kui nad ei kinnita korralikult sisemiste päiste [S2] päritolu. Täpsemalt võib väline ründaja lisada oma päringusse päise x-middleware-subrequest, et meelitada raamistikku käsitlema taotlust juba volitatud sisemise toiminguna, jättes tõhusalt vahele vahevara turbeloogika [S1].
Kuidas FixVibe seda testib
FixVibe sisaldab seda nüüd piiratud aktiivse kontrollina. Pärast domeeni kinnitamist otsib active.nextjs.middleware-bypass-cve-2025-29927 Next.js lõpp-punkte, mis keelduvad algtaseme päringust, ja seejärel käivitab vahevara möödaviigutingimuse kitsa juhtsondi. See teatab ainult siis, kui kaitstud marsruut muutub keelatud marsruudist juurdepääsetavaks viisil, mis on kooskõlas CVE-2025-29927-ga, ja parandusviip keskendub parandustegevusele Next.js uuendamisele ja sisemise vahevara päise blokeerimisele serval kuni paigani.
Betooniparandused
- Uuendage Next.js: värskendage oma rakendus kohe paigatud versioonile: 12.3.5, 13.5.9, 14.2.25 või 15.2.3 [S1, S2].
- Päise käsitsi filtreerimine: kui kohene uuendamine pole võimalik, konfigureerige oma veebirakenduse tulemüür (WAF) või pöördpuhverserver, et eemaldada
x-middleware-subrequestpäis kõigist sissetulevatest välistest päringutest, enne kui need jõuavad Next.js serverisse ZXCVFIXZBETCVOK1XVIX. - Vercel juurutamine: saidil Vercel hostitud juurutusi kaitseb ennetavalt platvormi tulemüür [S2].