Virkning
En angriper kan omgå sikkerhetslogikk og autorisasjonssjekker i Next.js-applikasjoner, og potensielt få full tilgang til begrensede ressurser [S1]. Dette sikkerhetsproblemet er klassifisert som kritisk med en CVSS-score på 9.1 fordi det ikke krever noen privilegier og kan utnyttes over nettverket uten brukerinteraksjon [S2].
Grunnårsak
Sårbarheten stammer fra hvordan Next.js behandler interne underforespørsler innenfor sin mellomvarearkitektur [S1]. Apper som er avhengige av mellomvare for godkjenning (CWE-863) er mottakelige hvis de ikke korrekt validerer opprinnelsen til interne overskrifter [S2]. Spesifikt kan en ekstern angriper inkludere x-middleware-subrequest-overskriften i forespørselen sin for å lure rammeverket til å behandle forespørselen som en allerede autorisert intern operasjon, og effektivt hoppe over mellomvarens sikkerhetslogikk [S1].
Hvordan FixVibe tester for det
FixVibe inkluderer nå dette som en gated aktiv sjekk. Etter domeneverifisering ser active.nextjs.middleware-bypass-cve-2025-29927 etter Next.js-endepunkter som nekter en grunnlinjeforespørsel, og kjører deretter en smal kontrollsonde for mellomvareomkoblingstilstanden. Den rapporterer bare når den beskyttede ruten endres fra nektet til tilgjengelig på en måte som samsvarer med CVE-2025-29927, og reparasjonsmeldingen holder utbedring fokusert på å oppgradere Next.js og blokkere den interne mellomvareoverskriften i kanten til den er lappet.
Betongrettinger
- Oppgrader Next.js: Oppdater applikasjonen din umiddelbart til en oppdatert versjon: 12.3.5, 13.5.9, 14.2.25 eller 15.2.3 [S1, S2].
- Manuell topptekstfiltrering: Hvis en umiddelbar oppgradering ikke er mulig, konfigurer din nettapplikasjonsbrannmur (WAF) eller omvendt proxy for å fjerne
x-middleware-subrequest-hodet fra alle innkommende eksterne forespørsler før de når Next.js-serveren [S1]. - Vercel-distribusjon: Distribusjoner som er vert på Vercel er proaktivt beskyttet av plattformens brannmur [S2].