FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Pistol Kebenaran Perisian Tengah

Kerentanan kritikal dalam Next.js membolehkan penyerang memintas semakan kebenaran yang dilaksanakan dalam perisian tengah. Dengan memalsukan pengepala dalaman, permintaan luaran boleh menyamar sebagai sub-permintaan yang dibenarkan, yang membawa kepada akses tanpa kebenaran kepada laluan dan data yang dilindungi.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Kesan

Penyerang boleh memintas logik keselamatan dan semakan kebenaran dalam aplikasi Next.js, yang berpotensi mendapat akses penuh kepada sumber terhad [S1]. Kerentanan ini diklasifikasikan sebagai kritikal dengan skor CVSS 9.1 kerana ia tidak memerlukan keistimewaan dan boleh dieksploitasi melalui rangkaian tanpa interaksi pengguna [S2].

Punca Punca

Kerentanan berpunca daripada cara Next.js memproses sub-permintaan dalaman dalam seni bina middleware [S1]. Aplikasi yang bergantung pada perisian tengah untuk kebenaran (CWE-863) terdedah jika ia tidak mengesahkan asal pengepala dalaman [S2] dengan betul. Khususnya, penyerang luar boleh memasukkan pengepala x-middleware-subrequest dalam permintaan mereka untuk menipu rangka kerja untuk menganggap permintaan itu sebagai operasi dalaman yang sudah dibenarkan, dengan berkesan melangkau logik keselamatan perisian tengah [S1].

Bagaimana FixVibe mengujinya

FixVibe kini memasukkan ini sebagai semakan aktif berpagar. Selepas pengesahan domain, active.nextjs.middleware-bypass-cve-2025-29927 mencari titik akhir Next.js yang menafikan permintaan garis dasar, kemudian menjalankan siasatan kawalan sempit untuk keadaan pintasan middleware. Ia melaporkan hanya apabila laluan yang dilindungi berubah daripada dinafikan kepada boleh diakses dengan cara yang konsisten dengan CVE-2025-29927, dan gesaan pembetulan memastikan pemulihan tertumpu pada menaik taraf Next.js dan menyekat pengepala perisian tengah dalaman di tepi sehingga ditampal.

Pembetulan Konkrit

  • Tingkatkan Next.js: Kemas kini aplikasi anda dengan serta-merta kepada versi ditampal: 12.3.5, 13.5.9, 14.2.25 atau 15.2.3 [S1, S2].
  • Penapisan Pengepala Manual: Jika peningkatan segera tidak dapat dilakukan, konfigurasikan Tembok Api Aplikasi Web (WAF) anda atau proksi terbalik untuk menanggalkan pengepala x-middleware-subrequest daripada semua permintaan luaran yang masuk sebelum ia mencapai pelayan Next.js ZXCVFIXZVIBETOK.
  • Vercel Deployment: Deployment yang dihoskan pada Vercel dilindungi secara proaktif oleh tembok api platform [S2].