FixVibe
Covered by FixVibecritical

CVE-2025-29927 : contournement de l'autorisation du middleware Next.js

Une vulnérabilité critique dans Next.js permet aux attaquants de contourner les contrôles d'autorisation implémentés dans le middleware. En usurpant les en-têtes internes, les requêtes externes peuvent se faire passer pour des sous-requêtes autorisées, conduisant à un accès non autorisé aux routes et aux données protégées.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

##Impact Un attaquant peut contourner la logique de sécurité et les contrôles d'autorisation dans les applications Next.js, obtenant potentiellement un accès complet aux ressources restreintes [S1]. Cette vulnérabilité est classée comme critique avec un score CVSS de 9,1 car elle ne nécessite aucun privilège et peut être exploitée sur le réseau sans interaction de l'utilisateur. [S2].

Cause première

La vulnérabilité provient de la manière dont Next.js traite les sous-requêtes internes au sein de son architecture middleware [S1]. Les applications qui s'appuient sur un middleware pour l'autorisation (CWE-863) sont susceptibles si elles ne valident pas correctement l'origine des en-têtes internes [S2]. Plus précisément, un attaquant externe peut inclure l'en-tête x-middleware-subrequest dans sa requête pour inciter le framework à traiter la requête comme une opération interne déjà autorisée, ignorant ainsi la logique de sécurité du middleware [S1].

Comment FixVibe le teste

FixVibe l'inclut désormais en tant que contrôle actif sécurisé. Après la vérification du domaine, active.nextjs.middleware-bypass-cve-2025-29927 recherche les points de terminaison Next.js qui refusent une demande de base, puis exécute une sonde de contrôle étroite pour la condition de contournement du middleware. Il signale uniquement lorsque la route protégée passe de refusée à accessible d'une manière cohérente avec CVE-2025-29927, et l'invite de correctif maintient la correction concentrée sur la mise à niveau de Next.js et le blocage de l'en-tête du middleware interne en périphérie jusqu'à ce qu'il soit corrigé.

Réparations concrètes

  • Mise à niveau Next.js : mettez immédiatement à jour votre application vers une version corrigée : 12.3.5, 13.5.9, 14.2.25 ou 15.2.3 [S1, S2].
  • Filtrage manuel des en-têtes : si une mise à niveau immédiate n'est pas possible, configurez votre pare-feu d'application Web (WAF) ou votre proxy inverse pour supprimer l'en-tête x-middleware-subrequest de toutes les requêtes externes entrantes avant qu'elles n'atteignent le serveur Next.js [S1].
  • Déploiement Vercel : les déploiements hébergés sur Vercel sont protégés de manière proactive par le pare-feu de la plateforme [S2].