Vaikutus
Hyökkääjä voi ohittaa suojauslogiikan ja valtuutustarkistukset Next.js-sovelluksissa ja mahdollisesti saada täyden pääsyn rajoitettuihin resursseihin [S1]. Tämä haavoittuvuus on luokiteltu kriittiseksi, ja sen CVSS-pistemäärä on 9,1, koska se ei vaadi oikeuksia ja sitä voidaan hyödyntää verkossa ilman käyttäjän toimia. [S2].
Perussyy
Haavoittuvuus johtuu siitä, kuinka Next.js käsittelee sisäisiä alipyyntöjä väliohjelmistoarkkitehtuurissaan [S1]. Sovellukset, jotka käyttävät väliohjelmistoa valtuutuksessa (CWE-863), ovat alttiita, jos ne eivät vahvista sisäisten otsikoiden [S2] alkuperää oikein. Tarkemmin sanottuna ulkoinen hyökkääjä voi sisällyttää pyyntöönsä x-middleware-subrequest-otsikon huijatakseen kehyksen käsittelemään pyyntöä jo valtuutettuna sisäisenä toimintona, mikä ohittaa tehokkaasti väliohjelmiston suojauslogiikan [S1].
Kuinka FixVibe testaa sitä
FixVibe sisältää tämän nyt portitetun aktiivisena tarkistuksena. Toimialueen vahvistuksen jälkeen active.nextjs.middleware-bypass-cve-2025-29927 etsii Next.js-päätepisteitä, jotka hylkäävät perustason pyynnön, ja suorittaa sitten kapean väliohjelmiston ohitusehdon ohjausselvityksen. Se ilmoittaa vain, kun suojattu reitti muuttuu kielletystä käyttökelpoiseksi CVE-2025-29927:n mukaisella tavalla, ja korjauskehote pitää korjauksen keskittyneenä Next.js:n päivittämiseen ja sisäisen väliohjelmiston ylätunnisteen estämiseen reunassa, kunnes se korjataan.
Betonikorjauksia
- Päivitä Next.js: Päivitä sovelluksesi välittömästi korjattuun versioon: 12.3.5, 13.5.9, 14.2.25 tai 15.2.3 [S1, S2].
- Manuaalinen otsikoiden suodatus: Jos välitön päivitys ei ole mahdollista, määritä Web-sovellusten palomuuri (WAF) tai käänteinen välityspalvelin poistamaan
x-middleware-subrequest-otsikko kaikista saapuvista ulkoisista pyynnöistä, ennen kuin ne saavuttavat Next.js-palvelimen ZXCVFIXZBETCVOK1XVIX. - Vercel Käyttöönotto: Vercel:ssä isännöidyt käyttöönotot suojataan ennakoivasti alustan palomuurilla [S2].