FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Middleware Fanomezana alalana Bypass

Ny vulnerable manan-danja amin'ny Next.js dia ahafahan'ny mpanafika handalo ny fisavana fanomezan-dàlana napetraka amin'ny middleware. Amin'ny alàlan'ny fandokoana lohapejy anatiny, ny fangatahana ivelany dia afaka misandoka ho toy ny sub-fangatahana nahazo alalana, mitarika amin'ny fidirana tsy nahazoana alalana amin'ny lalana sy angona voaaro.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Fiantraikany

Ny mpanafika dia afaka mandingana ny lojika fiarovana sy ny fanamarinana fanomezan-dàlana amin'ny fampiharana Next.js, izay mety hahazo fidirana feno amin'ny loharano voafetra [S1]. Ity vulnerable ity dia sokajiana ho mitsikera miaraka amin'ny isa CVSS 9.1 satria tsy mitaky tombontsoa ary azo trandrahana amin'ny tambajotra tsy misy fifandraisana amin'ny mpampiasa [S2].

Antony fototra

Ny vulnerability dia avy amin'ny fomba fiasan'ny Next.js ny sub-fangatahana anatiny ao anatin'ny rafitra middleware [S1]. Ireo rindranasa miantehitra amin'ny middleware ho an'ny fanomezan-dàlana (CWE-863) dia mety hiharan'izany raha tsy manamarina tsara ny niandohan'ny lohapejy anatiny [S2]. Amin'ny ankapobeny, ny mpanafika ivelany dia afaka mampiditra ny lohatenin'ny x-middleware-subrequest ao amin'ny fangatahan'izy ireo hamitaka ny rafitra amin'ny fitondrana ny fangatahana ho toy ny hetsika anatiny efa nahazo alalana, mandingana tsara ny lojika fiarovana ny middleware [S1].

Ahoana no andrana FixVibe momba izany

FixVibe izao dia ahitana izany ho fisavana mavitrika misy vavahady. Aorian'ny fanamarinana domaine, active.nextjs.middleware-bypass-cve-2025-29927 dia mitady teboka faran'ny Next.js izay mandà ny fangatahana baseline, avy eo dia manao famotopotorana fanaraha-maso tery ho an'ny fepetra bypass middleware. Tsy mitatitra izany raha tsy miova ny lalana arovana avy amin'ny lavina ho azo idirana amin'ny fomba mifanaraka amin'ny CVE-2025-29927, ary ny fampandrenesana fanamboarana dia mitazona ny fanarenana mifantoka amin'ny fanavaozana ny Next.js sy ny fanakanana ny lohatenin'ny middleware anatiny eo amin'ny sisiny mandra-pamehana.

Fanamboarana simenitra

  • Havaozy Next.js: Havaozy avy hatrany ny fampiharana anao amin'ny dikan-teny voapetaka: 12.3.5, 13.5.9, 14.2.25, na 15.2.3 [S1, S2].
  • Fanasivana lohapejy tànana: Raha tsy azo atao ny fanavaozana eo no ho eo, dia amboary ny Firewall Application Web-nao (WAF) na proxy mifamadika mba hanesorana ny lohapejy x-middleware-subrequest amin'ny fangatahana ivelany rehetra alohan'ny hahatongavany amin'ny mpizara Next.js ZXCVFIXXVIBETOK.
  • Vercel Deployment: Ny fandefasana apetraka ao amin'ny Vercel dia arovan'ny rindrin'ny sehatra [S2].