प्रभाव
आक्रमणकारीले Next.js अनुप्रयोगहरूमा सुरक्षा तर्क र प्राधिकरण जाँचहरू बाइपास गर्न सक्छ, सम्भावित रूपमा प्रतिबन्धित स्रोतहरूमा पूर्ण पहुँच प्राप्त गर्दै [S1]। यस जोखिमलाई 9.1 को CVSS स्कोरको साथ महत्वपूर्णको रूपमा वर्गीकृत गरिएको छ किनभने यसलाई कुनै विशेषाधिकार आवश्यक पर्दैन र प्रयोगकर्ता अन्तरक्रिया बिना नेटवर्कमा शोषण गर्न सकिन्छ [S2]।
मूल कारण
Next.js ले यसको मिडलवेयर आर्किटेक्चर [S1] भित्र आन्तरिक उप-अनुरोधहरू कसरी प्रशोधन गर्छ भन्ने कुराबाट जोखिम उत्पन्न हुन्छ। प्राधिकरण (CWE-863) को लागि मिडलवेयरमा भर परेका एप्लिकेसनहरू यदि तिनीहरूले आन्तरिक हेडर [S2] को उत्पत्ति ठीकसँग प्रमाणीकरण गर्दैनन् भने तिनीहरू संवेदनशील हुन्छन्। विशेष रूपमा, बाह्य आक्रमणकारीले x-middleware-subrequest हेडरलाई तिनीहरूको अनुरोधमा ढाँचालाई पहिले नै-अधिकृत आन्तरिक अपरेशनको रूपमा व्यवहार गर्न, प्रभावकारी रूपमा मिडलवेयरको सुरक्षा तर्क [S1] लाई छोडेर ढाँचामा समावेश गर्न सक्छ।
कसरी FixVibe यसको लागि परीक्षण गर्दछ
FixVibe ले अब यसलाई गेट गरिएको सक्रिय जाँचको रूपमा समावेश गर्दछ। डोमेन प्रमाणिकरण पछि, active.nextjs.middleware-bypass-cve-2025-29927 ले Next.js अन्तिम बिन्दुहरू खोज्छ जसले आधारभूत अनुरोधलाई अस्वीकार गर्दछ, त्यसपछि मिडलवेयर बाइपास अवस्थाको लागि संकीर्ण नियन्त्रण जाँच चलाउँछ। सुरक्षित मार्ग CVE-2025-29927 सँग एकरूपमा अस्वीकृतबाट पहुँचयोग्यमा परिवर्तन हुँदा मात्र यसले रिपोर्ट गर्छ, र फिक्स प्रम्प्टले Next.js अपग्रेड गर्न र प्याच नभएसम्म आन्तरिक मिडलवेयर हेडरलाई किनारामा ब्लक गर्नमा केन्द्रित राख्छ।
कंक्रीट फिक्सहरू
- Next.js अपग्रेड गर्नुहोस्: आफ्नो एपलाई प्याच गरिएको संस्करणमा तुरुन्तै अपडेट गर्नुहोस्: 12.3.5, 13.5.9, 14.2.25, वा 15.2.3 [S1, S2]।
- म्यानुअल हेडर फिल्टरिङ: यदि तत्काल अपग्रेड सम्भव छैन भने,
x-middleware-subrequestहेडरलाईx-middleware-subrequestहेडर सर्भरमा पुग्नु अघि नै सर्भरमा पुग्नु अघि आफ्नो वेब अनुप्रयोग फायरवाल (WAF) वा रिभर्स प्रोक्सी कन्फिगर गर्नुहोस्। [S1]। - Vercel डिप्लोयमेन्ट: Vercel मा होस्ट गरिएका डिप्लोयमेन्टहरू प्लेटफर्मको फायरवाल [S2] द्वारा सक्रिय रूपमा सुरक्षित छन्।