FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Middleware Authorization Bypass

Ang isang kritikal na kahinaan sa Next.js ay nagbibigay-daan sa mga umaatake na i-bypass ang mga pagsusuri sa awtorisasyon na ipinatupad sa middleware. Sa pamamagitan ng panggagaya sa mga panloob na header, maaaring magpanggap ang mga panlabas na kahilingan bilang mga awtorisadong sub-request, na humahantong sa hindi awtorisadong pag-access sa mga protektadong ruta at data.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Epekto

Maaaring lampasan ng isang attacker ang lohika ng seguridad at mga pagsusuri sa awtorisasyon sa mga Next.js application, na posibleng magkaroon ng ganap na access sa mga pinaghihigpitang mapagkukunan [S1]. Ang kahinaan na ito ay inuri bilang kritikal na may marka ng CVSS na 9.1 dahil hindi ito nangangailangan ng mga pribilehiyo at maaaring gamitin sa network nang walang pakikipag-ugnayan ng user [S2].

Root Cause

Nagmumula ang kahinaan sa kung paano pinoproseso ng Next.js ang mga panloob na sub-request sa loob ng middleware architecture nito na [S1]. Ang mga application na umaasa sa middleware para sa awtorisasyon (CWE-863) ay madaling kapitan kung hindi nila wastong patunayan ang pinagmulan ng mga panloob na header na [S2]. Sa partikular, maaaring isama ng isang external na attacker ang header ng x-middleware-subrequest sa kanilang kahilingan na linlangin ang framework sa pagtrato sa kahilingan bilang isang awtorisadong internal na operasyon, na epektibong nilaktawan ang lohika ng seguridad ng middleware na [S1].

Paano sinusuri ito ng FixVibe

Kasama na ito ngayon sa FixVibe bilang isang gated active check. Pagkatapos ng pag-verify ng domain, hahanapin ng active.nextjs.middleware-bypass-cve-2025-29927 ang mga Next.js na mga endpoint na tumatanggi sa isang kahilingan sa baseline, pagkatapos ay nagpapatakbo ng isang makitid na control probe para sa kundisyon ng bypass ng middleware. Nag-uulat lamang ito kapag ang protektadong ruta ay nagbago mula sa tinanggihan patungo sa naa-access sa paraang naaayon sa CVE-2025-29927, at ang prompt ng pag-aayos ay nagpapanatili ng remediation na nakatuon sa pag-upgrade ng Next.js at pagharang sa panloob na middleware header sa gilid hanggang sa ma-patched.

Mga Konkretong Pag-aayos

  • I-upgrade ang Next.js: I-update kaagad ang iyong application sa isang patched na bersyon: 12.3.5, 13.5.9, 14.2.25, o 15.2.3 [S1, S2].
  • Manual na Pag-filter ng Header: Kung hindi posible ang agarang pag-upgrade, i-configure ang iyong Web Application Firewall (WAF) o reverse proxy para alisin ang x-middleware-subrequest header mula sa lahat ng papasok na external na kahilingan bago sila makarating sa Next.js server na ZXCVFIXXVIBETOK.
  • Vercel Deployment: Ang mga deployment na naka-host sa Vercel ay aktibong pinoprotektahan ng firewall ng platform na [S2].