Bandor
Êrîşkar dikare di sepanên Next.js de mantiqa ewlehiyê û kontrolên destûrnameyê derbas bike, potansiyel bigihîje çavkaniyên qedexekirî [S1]. Ev qelsî bi pîvanek CVSS ya 9.1 wekî krîtîk tê dabeş kirin ji ber ku ew ti îmtiyazan hewce nake û bêyî têkiliya bikarhêner [S2] dikare li ser torê were bikar anîn.
Sedema bingehîn
Zelalbûn ji wê yekê derdikeve ku Next.js çawa daxwazên jêr-daxwazên hundurîn di nav mîmariya xweya navgîniya [S1] de pêvajoyê dike. Serîlêdanên ku ji bo destûrnameyê xwe dispêrin bernameya navîn (CWE-863) heke ew bi rêkûpêk eslê sernavên hundurîn [S2] rast nepejirînin, xeternak in. Bi taybetî, êrîşkarek derveyî dikare sernavê x-middleware-subrequest di daxwaziya xwe de bixapîne da ku çarçovê bixapîne da ku daxwazê wekî operasyonek navxweyî ya jixwe destûrdar bihesibîne, bi bandor ji mantiqa ewlehiyê ya navgîniya [S1] derbas bibe.
FixVibe çawa ji bo wê diceribîne
FixVibe naha vê yekê wekî kontrolek çalak a dergeh vedihewîne. Piştî verastkirina domainê, active.nextjs.middleware-bypass-cve-2025-29927 li xalên dawî yên Next.js digere ku daxwazek bingehîn red dikin, dûv re ji bo şerta rêveçûna navgîniyê lêpirsînek kontrolê ya teng dimeşîne. Ew tenê gava ku riya parastî ji redkirî diguhezîne gihîştîbûnê bi rengek lihevhatî bi CVE-2025-29927 re, û tavilê sererastkirinê balê dikişîne ser nûvekirina Next.js û girtina sernavê navgîniya hundurîn a li keviya heya ku were qut kirin.
Serastkirinên Beton
- Next.js nûve bikin : Tavilê serîlêdana xwe nûve bikin guhertoyek paçkirî: 12.3.5, 13.5.9, 14.2.25, an 15.2.3 [S1, S2].
- Parzûnkirina Sernivîsa Destan: Ger nûvekirinek tavilê ne mumkin be, Firewallê Serlêdana Webê (WAF) an proxy berevajî bikin da ku sernavê
x-middleware-subrequestji hemî daxwazên derveyî yên hatinî dûr bixin berî ku ew bigihîjin servera ZXCVFIXVIBETOKIXZVXCVXVCV. - Vercel Dabeşkirina: Dabeşkirinên ku li ser Vercel têne mêwankirin ji hêla firewall-a platformê [S2] ve bi proaktîf têne parastin.