Utjecaj
Napadač može zaobići sigurnosnu logiku i provjere autorizacije u Next.js aplikacijama, potencijalno dobivajući puni pristup ograničenim resursima [S1]. Ova je ranjivost klasificirana kao kritična s CVSS ocjenom 9,1 jer ne zahtijeva nikakve privilegije i može se iskoristiti preko mreže bez interakcije korisnika [S2].
Glavni uzrok
Ranjivost proizlazi iz načina na koji Next.js obrađuje interne podzahtjeve unutar svoje arhitekture međuprograma [S1]. Aplikacije koje se oslanjaju na posredni softver za autorizaciju (CWE-863) su osjetljive ako ispravno ne potvrđuju podrijetlo internih zaglavlja [S2]. Konkretno, vanjski napadač može uključiti zaglavlje x-middleware-subrequest u svoj zahtjev kako bi prevario okvir da tretira zahtjev kao već autoriziranu unutarnju operaciju, učinkovito preskačući sigurnosnu logiku srednjeg softvera [S1].
Kako FixVibe to testira
FixVibe sada uključuje ovo kao zatvoreni aktivni ček. Nakon provjere domene, active.nextjs.middleware-bypass-cve-2025-29927 traži krajnje točke Next.js koje odbijaju osnovni zahtjev, zatim pokreće usku kontrolnu probu za uvjet zaobilaženja međuprograma. Izvješćuje samo kada se zaštićena ruta promijeni iz zabranjene u pristupačnu na način koji je u skladu sa CVE-2025-29927, a upit za popravak zadržava usmjerenost popravka na nadogradnju Next.js i blokiranje internog zaglavlja međuopreme na rubu dok se ne zakrpa.
Konkretni popravci
- Nadogradite Next.js: Odmah ažurirajte svoju aplikaciju na zakrpanu verziju: 12.3.5, 13.5.9, 14.2.25 ili 15.2.3 [S1, S2].
- Ručno filtriranje zaglavlja: Ako trenutačna nadogradnja nije moguća, konfigurirajte svoj Vatrozid web aplikacije (WAF) ili obrnuti proxy da skine
x-middleware-subrequestzaglavlje sa svih dolaznih vanjskih zahtjeva prije nego oni dođu do Next.js poslužitelja [S1]. - Primjena Vercel: Implementacije hostirane na Vercel proaktivno su zaštićene vatrozidom platforme [S2].