Dampak
Penyerang dapat melewati logika keamanan dan pemeriksaan otorisasi di aplikasi Next.js, sehingga berpotensi mendapatkan akses penuh ke sumber daya terbatas [S1]. Kerentanan ini tergolong kritis dengan skor CVSS 9,1 karena tidak memerlukan hak istimewa dan dapat dieksploitasi melalui jaringan tanpa interaksi pengguna [S2].
Akar Penyebab
Kerentanan berasal dari cara Next.js memproses sub-permintaan internal dalam arsitektur middleware [S1]. Aplikasi yang mengandalkan middleware untuk otorisasi (CWE-863) rentan jika aplikasi tersebut tidak memvalidasi dengan benar asal header internal [S2]. Secara khusus, penyerang eksternal dapat menyertakan header x-middleware-subrequest dalam permintaan mereka untuk mengelabui kerangka kerja agar memperlakukan permintaan tersebut sebagai operasi internal yang sudah diotorisasi, yang secara efektif melewatkan logika keamanan middleware [S1].
Bagaimana FixVibe mengujinya
FixVibe sekarang menyertakan ini sebagai pemeriksaan aktif yang terjaga keamanannya. Setelah verifikasi domain, active.nextjs.middleware-bypass-cve-2025-29927 mencari titik akhir Next.js yang menolak permintaan dasar, lalu menjalankan pemeriksaan kontrol sempit untuk kondisi bypass middleware. Ini melaporkan hanya ketika rute yang dilindungi berubah dari ditolak menjadi dapat diakses dengan cara yang konsisten dengan CVE-2025-29927, dan perintah perbaikan membuat remediasi tetap fokus pada peningkatan Next.js dan memblokir header middleware internal di edge hingga ditambal.
Perbaikan Beton
- Tingkatkan Next.js: Segera perbarui aplikasi Anda ke versi yang dipatch: 12.3.5, 13.5.9, 14.2.25, atau 15.2.3 [S1, S2].
- Pemfilteran Header Manual: Jika pemutakhiran langsung tidak memungkinkan, konfigurasikan Firewall Aplikasi Web (WAF) atau proksi terbalik untuk menghapus header
x-middleware-subrequestdari semua permintaan eksternal yang masuk sebelum mencapai server Next.js [S1]. - Penerapan Vercel: Penerapan yang dihosting di Vercel dilindungi secara proaktif oleh firewall platform [S2].