FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js മിഡിൽവെയർ ഓതറൈസേഷൻ ബൈപാസ്

Next.js-ലെ ഒരു നിർണായകമായ അപകടസാധ്യത, മിഡിൽവെയറിൽ നടപ്പിലാക്കിയ അംഗീകാര പരിശോധനകളെ മറികടക്കാൻ ആക്രമണകാരികളെ അനുവദിക്കുന്നു. ആന്തരിക തലക്കെട്ടുകൾ കബളിപ്പിക്കുന്നതിലൂടെ, ബാഹ്യ അഭ്യർത്ഥനകൾക്ക് അംഗീകൃത ഉപ-അഭ്യർത്ഥനകളായി മാറാൻ കഴിയും, ഇത് പരിരക്ഷിത റൂട്ടുകളിലേക്കും ഡാറ്റയിലേക്കും അനധികൃത ആക്‌സസിലേക്ക് നയിക്കുന്നു.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

ആഘാതം

Next.js ആപ്ലിക്കേഷനുകളിലെ സുരക്ഷാ ലോജിക്കും അംഗീകാര പരിശോധനകളും ഒരു ആക്രമണകാരിക്ക് മറികടക്കാൻ കഴിയും, ഇത് നിയന്ത്രിത ഉറവിടങ്ങളിലേക്കുള്ള പൂർണ്ണമായ ആക്‌സസ് നേടുന്നതിന് സാധ്യതയുണ്ട്. ഈ കേടുപാടുകൾ ഒരു CVSS സ്കോർ 9.1 ഉപയോഗിച്ച് നിർണ്ണായകമായി തരംതിരിച്ചിരിക്കുന്നു, കാരണം ഇതിന് പ്രത്യേകാവകാശങ്ങളൊന്നും ആവശ്യമില്ല, കൂടാതെ ഉപയോക്തൃ ഇടപെടൽ കൂടാതെ [S2] നെറ്റ്‌വർക്കിലൂടെ ചൂഷണം ചെയ്യാൻ കഴിയും.

മൂലകാരണം

Next.js അതിൻ്റെ മിഡിൽവെയർ ആർക്കിടെക്ചറായ [S1] ഉള്ളിൽ ആന്തരിക ഉപ-അഭ്യർത്ഥനകൾ എങ്ങനെ പ്രോസസ്സ് ചെയ്യുന്നു എന്നതിൽ നിന്നാണ് ഈ അപകടസാധ്യത ഉണ്ടാകുന്നത്. അംഗീകാരത്തിനായി മിഡിൽവെയറിനെ ആശ്രയിക്കുന്ന (CWE-863) ആന്തരിക തലക്കെട്ടുകളുടെ ഉത്ഭവം [S2] ശരിയായി സാധൂകരിക്കാത്ത പ്രയോഗങ്ങൾ അവയ്ക്ക് വിധേയമാണ്. പ്രത്യേകമായി, ഒരു ബാഹ്യ ആക്രമണകാരിക്ക് അവരുടെ അഭ്യർത്ഥനയിൽ x-middleware-subrequest തലക്കെട്ട് ഉൾപ്പെടുത്താം, അഭ്യർത്ഥനയെ ഇതിനകം അംഗീകൃതമായ ഒരു ആന്തരിക പ്രവർത്തനമായി കണക്കാക്കുന്നതിനുള്ള ചട്ടക്കൂടിനെ കബളിപ്പിക്കാൻ, മിഡിൽവെയറിൻ്റെ സുരക്ഷാ ലോജിക് [S1] ഫലപ്രദമായി ഒഴിവാക്കുന്നു.

എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്

FixVibe ഇപ്പോൾ ഇതൊരു ഗേറ്റഡ് ആക്റ്റീവ് ചെക്ക് ആയി ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. ഡൊമെയ്ൻ പരിശോധിച്ചുറപ്പിച്ചതിന് ശേഷം, active.nextjs.middleware-bypass-cve-2025-29927 ഒരു അടിസ്ഥാന അഭ്യർത്ഥന നിരസിക്കുന്ന Next.js എൻഡ്‌പോയിൻ്റുകൾക്കായി തിരയുന്നു, തുടർന്ന് മിഡിൽവെയർ ബൈപാസ് അവസ്ഥയ്ക്കായി ഒരു ഇടുങ്ങിയ നിയന്ത്രണ അന്വേഷണം പ്രവർത്തിപ്പിക്കുന്നു. CVE-2025-29927 യുമായി പൊരുത്തപ്പെടുന്ന രീതിയിൽ പരിരക്ഷിത റൂട്ട് നിരസിക്കപ്പെട്ടതിൽ നിന്ന് ആക്‌സസ് ചെയ്യാവുന്നതിലേക്ക് മാറുമ്പോൾ മാത്രമേ ഇത് റിപ്പോർട്ട് ചെയ്യൂ, കൂടാതെ ഫിക്സ് പ്രോംപ്റ്റ്, Next.js അപ്‌ഗ്രേഡുചെയ്യുന്നതിലും ഇൻ്റേണൽ മിഡിൽവെയർ ഹെഡർ പാച്ച് ചെയ്യുന്നതുവരെ അരികിൽ തടയുന്നതിലും ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.

കോൺക്രീറ്റ് ഫിക്സുകൾ

  • Next.js അപ്‌ഗ്രേഡുചെയ്യുക: പാച്ച് ചെയ്‌ത പതിപ്പിലേക്ക് നിങ്ങളുടെ അപേക്ഷ ഉടനടി അപ്‌ഡേറ്റ് ചെയ്യുക: 12.3.5, 13.5.9, 14.2.25, അല്ലെങ്കിൽ 15.2.3 [S1, S2].
  • മാനുവൽ ഹെഡർ ഫിൽട്ടറിംഗ്: ഉടനടി അപ്‌ഗ്രേഡ് ചെയ്യാൻ കഴിയുന്നില്ലെങ്കിൽ, x-middleware-subrequest സെർവറിൽ എത്തുന്നതിന് മുമ്പ് ഇൻകമിംഗ് എല്ലാ ബാഹ്യ അഭ്യർത്ഥനകളിൽ നിന്നും x-middleware-subrequest തലക്കെട്ട് നീക്കം ചെയ്യാൻ നിങ്ങളുടെ വെബ് ആപ്ലിക്കേഷൻ ഫയർവാൾ (WAF) അല്ലെങ്കിൽ റിവേഴ്സ് പ്രോക്സി കോൺഫിഗർ ചെയ്യുക. [S1].
  • Vercel വിന്യാസം: Vercel-ൽ ഹോസ്റ്റ് ചെയ്‌തിരിക്കുന്ന വിന്യാസങ്ങൾ പ്ലാറ്റ്‌ഫോമിൻ്റെ ഫയർവാൾ [S2] മുഖേന സജീവമായി പരിരക്ഷിച്ചിരിക്കുന്നു.