გავლენა
თავდამსხმელს შეუძლია გვერდი აუაროს უსაფრთხოების ლოგიკას და ავტორიზაციის შემოწმებებს Next.js აპლიკაციებში, პოტენციურად მოიპოვოს სრული წვდომა შეზღუდულ რესურსებზე [S1]. ეს დაუცველობა კლასიფიცირებულია, როგორც კრიტიკული CVSS ქულით 9.1, რადგან ის არ საჭიროებს პრივილეგიებს და მისი გამოყენება შესაძლებელია ქსელში მომხმარებლის ინტერაქციის გარეშე [S2].
ძირეული მიზეზი
დაუცველობა გამომდინარეობს იქიდან, თუ როგორ ამუშავებს Next.js შიდა ქვემოთხოვნებს მისი შუაპროგრამის არქიტექტურაში [S1]. აპლიკაციები, რომლებიც ავტორიზაციისთვის ეყრდნობა შუა პროგრამულ უზრუნველყოფას (CWE-863) მგრძნობიარეა, თუ ისინი სათანადოდ ვერ ამოწმებენ შიდა სათაურების წარმოშობას [S2]. კონკრეტულად, გარე თავდამსხმელს შეუძლია შეაერთოს x-middleware-subrequest სათაური თავის მოთხოვნაში, რათა მოატყუოს ფრეიმერი და განიხილოს მოთხოვნა, როგორც უკვე ავტორიზებული შიდა ოპერაცია, ეფექტურად გამოტოვოს შუა პროგრამის უსაფრთხოების ლოგიკა [S1].
როგორ ამოწმებს მას FixVibe
FixVibe ახლა მოიცავს ამას, როგორც დახურულ აქტიურ შემოწმებას. დომენის შემოწმების შემდეგ, active.nextjs.middleware-bypass-cve-2025-29927 ეძებს Next.js საბოლოო წერტილებს, რომლებიც უარყოფენ საბაზისო მოთხოვნას, შემდეგ აწარმოებს ვიწრო საკონტროლო ზონდს Middleware შემოვლითი მდგომარეობისთვის. ის იტყობინება მხოლოდ მაშინ, როდესაც დაცული მარშრუტი იცვლება აკრძალულიდან ხელმისაწვდომად CVE-2025-29927-სთან შესაბამისობაში, ხოლო შესწორების მოთხოვნა აგრძელებს გამოსწორებას Next.js-ის განახლებაზე და შიდა შუა პროგრამის სათაურის დაბლოკვაზე, სანამ არ შესწორდება.
ბეტონის შესწორებები
- განაახლეთ Next.js : დაუყონებლივ განაახლეთ თქვენი აპლიკაცია შესწორებულ ვერსიაზე: 12.3.5, 13.5.9, 14.2.25 ან 15.2.3 [S1, S2].
- სათაურის ხელით გაფილტვრა: თუ დაუყოვნებელი განახლება შეუძლებელია, დააკონფიგურირეთ თქვენი ვებ აპლიკაციის Firewall (WAF) ან საპირისპირო პროქსი, რათა ამოიღოთ
x-middleware-subrequestსათაური ყველა შემომავალი გარე მოთხოვნიდან, სანამ ისინი მიაღწევენ ZXCVFIXVIBETOKENVXCVXCV სერვერს. - Vercel განლაგება: განლაგება, რომლებიც განთავსებულია Vercel-ზე, პროაქტიულად არის დაცული პლატფორმის ფაირვოლით [S2].