Hatás
A támadó megkerülheti a biztonsági logikát és az engedélyezési ellenőrzéseket a Next.js alkalmazásokban, így teljes hozzáférést kaphat a korlátozott erőforrásokhoz [S1]. Ez a biztonsági rés kritikusnak minősül 9,1-es CVSS-pontszámmal, mivel nem igényel jogosultságokat, és a hálózaton keresztül felhasználói beavatkozás nélkül is kihasználható. [S2].
Kiváltó ok
A biztonsági rés abból adódik, hogy a Next.js a [S1] köztes szoftver architektúrán belül hogyan dolgozza fel a belső alkéréseket. Azok az alkalmazások, amelyek engedélyezése köztes szoftverre (CWE-863) támaszkodik, érzékenyek, ha nem ellenőrzik megfelelően a [S2] belső fejlécek eredetét. Konkrétan, egy külső támadó a x-middleware-subrequest fejlécet is belefoglalhatja kérésébe, hogy rávegye a keretrendszert, hogy a kérést már engedélyezett belső műveletként kezelje, gyakorlatilag kihagyva a köztes szoftver biztonsági logikáját. [S1].
Hogyan teszteli a FixVibe
A FixVibe ezt most kapuzott aktív ellenőrzésként tartalmazza. A tartomány ellenőrzése után a active.nextjs.middleware-bypass-cve-2025-29927 olyan Next.js végpontokat keres, amelyek megtagadják az alapkérést, majd egy szűk vezérlőpróbát futtat a köztes szoftver megkerülési feltételéhez. Csak akkor jelenti a jelentést, ha a védett útvonal a CVE-2025-29927-vel összhangban álló módon tiltottról elérhetővé változik, és a javítási prompt a Next.js frissítésére összpontosít, és a belső köztes szoftver fejlécének blokkolását a szélén a javításig.
Konkrét javítások
- A Next.js frissítése: Azonnal frissítse az alkalmazást egy javított verzióra: 12.3.5, 13.5.9, 14.2.25 vagy 15.2.3 [S1, S2].
- Manuális fejlécszűrés: Ha az azonnali frissítés nem lehetséges, állítsa be a webalkalmazási tűzfalat (WAF) vagy a fordított proxyt úgy, hogy a
x-middleware-subrequestfejlécet eltávolítsa az összes bejövő külső kéréstől, mielőtt azok elérnék a Next.js kiszolgálót. - Vercel Telepítés: A Vercel webhelyen tárolt központi telepítéseket a platform [S2] tűzfala proaktívan védi.