Ietekme
Uzbrucējs var apiet drošības loģikas un autorizācijas pārbaudes lietojumprogrammās Next.js, iespējams, iegūstot pilnu piekļuvi ierobežotiem resursiem [S1]. Šī ievainojamība ir klasificēta kā kritiska ar CVSS vērtējumu 9,1, jo tai nav nepieciešamas privilēģijas un to var izmantot tīklā bez lietotāja iejaukšanās. [S2].
Galvenais cēlonis
Ievainojamība izriet no tā, kā Next.js apstrādā iekšējos apakšpieprasījumus savā starpprogrammatūras arhitektūrā [S1]. Lietojumprogrammas, kuru autorizācija ir atkarīga no starpprogrammatūras (CWE-863), ir jutīgas, ja tās pareizi neapstiprina iekšējo galveņu [S2] izcelsmi. Konkrētāk, ārējs uzbrucējs savā pieprasījumā var iekļaut galveni x-middleware-subrequest, lai ietvars uzskatītu pieprasījumu par jau autorizētu iekšējo darbību, efektīvi izlaižot starpprogrammatūras drošības loģiku [S1].
Kā FixVibe to pārbauda
FixVibe tagad šī ir iekļauta kā ierobežota aktīva pārbaude. Pēc domēna verifikācijas active.nextjs.middleware-bypass-cve-2025-29927 meklē Next.js galapunktus, kas noraida bāzes pieprasījumu, un pēc tam palaiž šauru kontroles zondi starpprogrammatūras apiešanas nosacījumam. Tas ziņo tikai tad, kad aizsargātais maršruts mainās no liegta uz pieejamu tādā veidā, kas atbilst CVE-2025-29927, un labošanas uzvedne saglabā galveno uzmanību uz Next.js jaunināšanu un iekšējās starpprogrammatūras galvenes bloķēšanu malā, līdz tiek novērsts ielāps.
Betona labojumi
- Jauniniet Next.js: nekavējoties atjauniniet savu lietojumprogrammu uz labotu versiju: 12.3.5, 13.5.9, 14.2.25 vai 15.2.3 [S1, S2].
- Manuāla galvenes filtrēšana: ja nav iespējama tūlītēja jaunināšana, konfigurējiet savu tīmekļa lietojumprogrammu ugunsmūri (WAF) vai apgriezto starpniekserveri, lai
x-middleware-subrequestgalveni noņemtu no visiem ienākošajiem ārējiem pieprasījumiem, pirms tie sasniedz Next.js serveri ZXCVFIXZBETCVOKFIXVI. - Vercel izvietošana: Vercel mitinātos izvietojumus proaktīvi aizsargā platformas ugunsmūris [S2].