Mmetụta
Onye na-awakpo nwere ike gafere mgbagha nchekwa na nlele ikike na ngwa Next.js, nwere ike nweta ohere zuru oke na akụrụngwa amachibidoro [S1]. A na-ekewa adịghị ike a dị ka ihe dị egwu yana akara CVSS nke 9.1 n'ihi na ọ chọghị ihe ùgwù ma nwee ike irigbu ya na netwọk na-enweghị mmekọrịta onye ọrụ [S2].
Ihe kpatara ya
Ọdịmma ahụ sitere na ka Next.js si ahazi sub-arịrịọ dị n'ime ụlọ ọrụ etiti ya [S1]. Ngwa na-adabere na middleware maka ikike (CWE-863) dị mfe ma ọ bụrụ na ha akwadoghị nke ọma mmalite nke nkụnye eji isi mee [S2]. Kpọmkwem, onye na-awakpo mpụga nwere ike ịgụnye nkụnye eji isi mee x-middleware-subrequest na arịrịọ ha ka ha ghọgbuo usoro ahụ n'imeso arịrịọ ahụ dị ka ọrụ ime ụlọ enyerelarị ikike, na-amapụ mgbagha nchekwa nke middleware [S1].
Kedu ka FixVibe si nwalee ya
FixVibe gụnyere nke a dị ka nlele na-arụ ọrụ gated. Mgbe nkwenye ngalaba gasịrị, active.nextjs.middleware-bypass-cve-2025-29927 na-achọ ebe njedebe Next.js na-agọnarị arịrịọ ntọala, wee na-eme nyocha njikwa dị warara maka ọnọdụ uzo ụzọ etiti. Ọ na-akọ naanị mgbe ụzọ echedoro na-agbanwe site na agọnarị ịnweta ya n'ụzọ kwekọrọ na CVE-2025-29927, na ndozi ozugbo na-edobe mmezigharị na ịkwalite Next.js na igbochi nkụnye eji isi mee middleware na nsọtụ ruo mgbe ejiri ya.
Concrete ndozi
- kwalite Next.js *: melite ngwa gị ozugbo ka ọ bụrụ ụdị patched: 12.3.5, 13.5.9, 14.2.25, ma ọ bụ 15.2.3 [S1, S2].
Ihe nzacha isi akwụkwọ ntuziaka *: Ọ bụrụ na nkwalite ngwa ngwa agaghị ekwe omume, hazie ngwa ngwa Weebụ gị (WAF) ma ọ bụ tụgharịa proxy iji wepụ isi x-middleware-subrequest na arịrịọ mpụga niile na-abata tupu ha erute sava Next.jsZXCVFIXVIBETOKEN.
- Vercel Nbunye *: A na-echekwa mbugharị akwadoro na Vercel site na firewall ikpo okwu [S2].