FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Middleware-autorisatie omzeilen

Een kritieke kwetsbaarheid in Next.js stelt aanvallers in staat autorisatiecontroles te omzeilen die in middleware zijn geïmplementeerd. Door interne headers te spoofen kunnen externe verzoeken zich voordoen als geautoriseerde subverzoeken, wat leidt tot ongeautoriseerde toegang tot beschermde routes en gegevens.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impact

Een aanvaller kan de beveiligingslogica en autorisatiecontroles in Next.js-applicaties omzeilen, waardoor mogelijk volledige toegang wordt verkregen tot de beperkte [S1]-bronnen. Deze kwetsbaarheid is geclassificeerd als kritiek met een CVSS-score van 9,1 omdat er geen rechten voor nodig zijn en zonder gebruikersinteractie via het netwerk kan worden misbruikt. [S2].

Oorzaak

Het beveiligingslek komt voort uit de manier waarop Next.js interne subverzoeken verwerkt binnen de middleware-architectuur [S1]. Toepassingen die voor autorisatie afhankelijk zijn van middleware (CWE-863) zijn gevoelig als ze de oorsprong van de interne headers [S2] niet goed valideren. Concreet kan een externe aanvaller de x-middleware-subrequest-header in zijn verzoek opnemen om het raamwerk te misleiden om het verzoek te behandelen als een reeds geautoriseerde interne bewerking, waardoor de beveiligingslogica van de middleware, [S1], effectief wordt overgeslagen.

Hoe FixVibe erop test

FixVibe bevat dit nu als een gated actieve controle. Na domeinverificatie zoekt active.nextjs.middleware-bypass-cve-2025-29927 naar Next.js-eindpunten die een basislijnverzoek weigeren, en voert vervolgens een beperkte controletest uit voor de bypass-voorwaarde van de middleware. Het rapporteert alleen wanneer de beschermde route verandert van geweigerd naar toegankelijk op een manier die consistent is met CVE-2025-29927, en de oplossingsprompt houdt het herstel gericht op het upgraden van Next.js en het blokkeren van de interne middleware-header aan de rand totdat er een patch is aangebracht.

Betonreparaties

  • Upgrade Next.js: update uw applicatie onmiddellijk naar een gepatchte versie: 12.3.5, 13.5.9, 14.2.25 of 15.2.3 [S1, S2].
  • Handmatig headerfilteren: Als een onmiddellijke upgrade niet mogelijk is, configureer dan uw Web Application Firewall (WAF) of reverse proxy om de x-middleware-subrequest-header te verwijderen van alle inkomende externe verzoeken voordat deze de Next.js-server [S1] bereiken.
  • Vercel-implementatie: implementaties die worden gehost op Vercel worden proactief beschermd door de firewall [S2] van het platform.