Poveikis
Užpuolikas gali apeiti saugos logiką ir autorizacijų patikrinimus programose Next.js, galbūt įgydamas visišką prieigą prie ribotų išteklių [S1]. Šis pažeidžiamumas klasifikuojamas kaip kritinis, kurio CVSS balas yra 9,1, nes jai nereikia jokių privilegijų ir ją galima išnaudoti tinkle be vartotojo sąveikos. [S2].
Pagrindinė priežastis
Pažeidžiamumas kyla dėl to, kaip Next.js apdoroja vidines papildomas užklausas savo tarpinės programinės įrangos architektūroje [S1]. Programos, kurioms suteikiama prieigos teisė (CWE-863), yra jautrios, jei jos tinkamai nepatvirtina vidinių antraščių [S2] kilmės. Tiksliau, išorinis užpuolikas į savo užklausą gali įtraukti x-middleware-subrequest antraštę, kad apgautų sistemą, kad užklausa būtų traktuojama kaip jau įgaliota vidinė operacija, veiksmingai praleidžiant tarpinės programinės įrangos saugumo logiką [S1].
Kaip FixVibe tai tikrina
FixVibe dabar tai įtraukta kaip aktyvus tikrinimas. Patikrinęs domeną, active.nextjs.middleware-bypass-cve-2025-29927 ieško Next.js galinių taškų, kurie atmeta pradinę užklausą, tada paleidžia siaurą tarpinės programinės įrangos apėjimo sąlygos valdymo zondą. Ji praneša tik tada, kai apsaugotas maršrutas pakeičiamas iš uždraustas į pasiekiamą tokiu būdu, kuris atitinka CVE-2025-29927, o taisymo raginimas toliau sutelkia dėmesį į Next.js atnaujinimą ir vidinės tarpinės programinės įrangos antraštės blokavimą krašte, kol bus pataisyta.
Betoniniai pataisymai
- Atnaujinkite Next.js: nedelsdami atnaujinkite programą į pataisytą versiją: 12.3.5, 13.5.9, 14.2.25 arba 15.2.3 [S1, S2].
- Rankinis antraštės filtravimas: jei neįmanoma nedelsiant atnaujinti, sukonfigūruokite žiniatinklio programos užkardą (WAF) arba atvirkštinį tarpinį serverį, kad pašalintumėte
x-middleware-subrequestantraštę nuo visų gaunamų išorinių užklausų, kol jos nepasiektų Next.js serverio ZXCVFIXZBET ZXCVFIXX. - Vercel diegimas: diegimas, priglobtas Vercel, yra aktyviai apsaugotas platformos ugniasienės [S2].