FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js מעקף הרשאת תוכנה בינונית

פגיעות קריטית ב-Next.js מאפשרת לתוקפים לעקוף בדיקות הרשאות המיושמות בתוכנת האמצע. על ידי זיוף כותרות פנימיות, בקשות חיצוניות יכולות להתחזות לבקשות משנה מורשות, מה שיוביל לגישה לא מורשית למסלולים ונתונים מוגנים.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

השפעה

תוקף יכול לעקוף את היגיון האבטחה ובדיקות הרשאות ביישומי Next.js, ועלול לקבל גישה מלאה למשאבים מוגבלים [S1]. פגיעות זו מסווגת כקריטית עם ציון CVSS של 9.1 מכיוון שהיא אינה דורשת הרשאות וניתן לנצל אותה ברשת ללא אינטראקציה של המשתמש [S2].

סיבת שורש

הפגיעות נובעת מהאופן שבו Next.js מעבד בקשות משנה פנימיות בתוך ארכיטקטורת התווך שלה [S1]. יישומים המסתמכים על תוכנת ביניים לצורך הרשאה (CWE-863) רגישים אם הם אינם מאמתים כראוי את המקור של הכותרות הפנימיות [S2]. באופן ספציפי, תוקף חיצוני יכול לכלול את הכותרת x-middleware-subrequest בבקשתו להערים על המסגרת להתייחס לבקשה כפעולה פנימית שכבר מורשית, ולמעשה לדלג על היגיון האבטחה של תוכנת האמצע [S1].

כיצד FixVibe בודק את זה

FixVibe כולל כעת זאת כבדיקה אקטיבית מגודרת. לאחר אימות תחום, active.nextjs.middleware-bypass-cve-2025-29927 מחפש נקודות קצה Next.js שדוחות בקשת בסיס, ולאחר מכן מפעיל בדיקת בקרה צרה עבור מצב מעקף התווך. הוא מדווח רק כאשר המסלול המוגן משתנה מנדחה לנגיש באופן התואם עם CVE-2025-29927, והנחיית התיקון שומרת על תיקון מתמקד בשדרוג Next.js וחסימת כותרת התווך הפנימית בקצה עד לתיקון.

תיקוני בטון

  • שדרג את Next.js: עדכן מיד את האפליקציה שלך לגרסה מתוקנת: 12.3.5, 13.5.9, 14.2.25 או 15.2.3 [S1, S2].
  • סינון כותרות ידני: אם שדרוג מיידי אינו אפשרי, הגדר את חומת האש של יישומי אינטרנט (WAF) או פרוקסי הפוך כדי להסיר את הכותרת x-middleware-subrequest מכל הבקשות החיצוניות הנכנסות לפני שהן מגיעות לשרת Next.js [S1].
  • פריסה Vercel: פריסות המתארחות ב-Vercel מוגנות באופן יזום על ידי חומת האש של הפלטפורמה [S2].