FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Middleware-aren baimena saihestea

Next.js-n ahultasun larri batek erasotzaileek middlewarean inplementatutako baimen-egiaztapenak saihesteko aukera ematen die. Barneko goiburuak faltifikatuz, kanpoko eskaerak baimendutako azpieskaera gisa ezkuta daitezke, eta babestutako ibilbide eta datuetara baimenik gabe sar daitezke.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Eragina

Erasotzaileak Next.js aplikazioetan segurtasun-logika eta baimen-egiaztapenak saihes ditzake, eta baliteke [S1] baliabide mugatuetarako sarbide osoa lortuz. Ahultasun hau kritiko gisa sailkatuta dago 9.1eko CVSS puntuazioarekin, ez duelako pribilegiorik behar eta sarean ustiatu daitekeelako erabiltzailearen interakziorik gabe [S2].

Arrazoia

Zaurgarritasuna Next.js-k bere middleware arkitekturaren barruan [S1] barne-eskaerak prozesatzen dituen modutik dator. Baimenerako middlewarean oinarritzen diren aplikazioak (CWE-863) jasangarriak dira [S2] barne goiburuen jatorria behar bezala balioztatzen ez badute. Zehazki, kanpoko erasotzaile batek x-middleware-subrequest goiburua sar dezake bere eskaeran esparrua engainatzeko eskaera dagoeneko baimendutako barne-eragiketa gisa tratatzeko, middleware-aren segurtasun logika [S1] modu eraginkorrean saltatuta.

FixVibe probak nola egiten dituen

FixVibe-k kontrol aktibo itxi gisa sartzen du orain. Domeinua egiaztatu ondoren, active.nextjs.middleware-bypass-cve-2025-29927-k oinarrizko eskaera ukatzen duten active.nextjs.middleware-bypass-cve-2025-29927-k oinarrizko eskaera bat ukatzen duten active.nextjs.middleware-bypass-cve-2025-29927-k kontrol-zunda estu bat exekutatzen du middlewarearen saihespen-baldintzarako. Babestutako ibilbidea CVE-2025-29927rekin koherentea den moduan ukatuta izatera iristeko modua aldatzen denean soilik jakinaraziko du, eta konponketa-gonbitak konponketa-zerbitzua Next.js eguneratzean eta barneko middlewarearen goiburua blokeatzen du adabaki arte.

Konponketa konkretuak

  • Bereratu Next.js: berehala eguneratu zure aplikazioa adabakitutako bertsio batera: 12.3.5, 13.5.9, 14.2.25 edo 15.2.3 [S1, S2].
  • Eskuzko goiburuko iragazketa: berehalako bertsio berritzea posible ez bada, konfiguratu zure Web Aplikazioen Suebakia (WAF) edo alderantzizko proxy-a x-middleware-subrequest goiburua kanpo-eskaera guztietatik kentzeko, Next.js zerbitzarira iritsi aurretik.
  • Vercel inplementazioa: Vercel-n ostatatutako inplementazioak plataformaren [S2]-ren suebakiaren bidez proaktiboki babestuta daude.