FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Hayyama Giddugaleessaa Dabarsa

jedhamuun beekama ZXCVFIXVIBESEG2 Next.js keessatti saaxilamummaan murteessaan haleellaan sakatta'iinsa hayyamaa middleware keessatti hojiirra oole akka bira darban hayyama. Mataduree keessoo fakkeessuudhaan, gaaffiiwwan alaa akka gaaffii xiqqaa hayyamameetti fakkeessuun ni danda'ama, kunis karaawwanii fi deetaa eegumsa argatan hayyama malee argachuuf sababa ta'a.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

jedhamuun beekama ZXCVFIXVIBESEG3

Dhiibbaa

jedhamuun beekama ZXCVFIXVIBESEG4 Haleellaan tokko loojikii nageenyaa fi sakatta'iinsa hayyamaa aplikeeshiniiwwan Next.js keessatti bira darbuu danda'a, qabeenya daangeffame [S1] argachuuf qaqqabummaa guutuu argachuu danda'a. Saaxilamummaan kun mirga waan hin barbaanneef fi walqunnamtii fayyadamaa malee networkii irratti fayyadamuu waan danda'uuf qabxii CVSS 9.1 qabaachuun akka murteessaa ta'etti ramadama [S2].

jedhamuun beekama ZXCVFIXVIBESEG5

Hundee Sababaa

jedhamuun beekama ZXCVFIXVIBESEG6 Saaxilamummaan kun akkaataa Next.js gaaffii xiqqaa keessoo arkiteekcharii middleware isaa [S1] keessatti adeemsisu irraa madda. Appilikeeshiniiwwan hayyamaaf middleware irratti hirkatan (CWE-863) yoo ka'umsa mataduree keessoo [S2] sirnaan hin mirkaneessine saaxilamoo dha. Addatti, haleellaan alaa mata duree x-middleware-subrequest gaaffii isaanii keessatti hammachuu danda'a, kunis gaaffii akka hojii keessoo duraan hayyamameetti akka ilaalu unkaa gowwoomsuuf, bu'a qabeessa ta'een loojikii nageenya giddugaleessaa [S1] darbuu danda'a.

jedhamuun beekama ZXCVFIXVIBESEG7

Akkamitti FixVibe itti qorata

jedhamuun beekama ZXCVFIXVIBESEG8 FixVibe amma kana akka sakatta'iinsa sochii karra qabuutti hammata. Erga domeenii mirkaneessuu booda, active.nextjs.middleware-bypass-cve-2025-29927 tuqaawwan xumuraa Next.js kanneen gaaffii sarara bu'uuraa didan barbaada, sana booda haalata bira darbuu middleware'f qorannoo too'annoo dhiphoo hojjeta. Innis yeroo karaan eegame haala CVE-2025-29927 wajjin walsimuun dhorkame irraa gara dhaqqabamaa ta'etti jijjiiramu qofa gabaasa, fi gaaffiin sirreeffamaa sirreeffama Next.js fooyyessuu fi mataduree middleware keessoo qarqara irratti ugguruu irratti xiyyeeffatee eega.

jedhamuun beekama ZXCVFIXVIBESEG9

Sirreeffama Konkiriitii

jedhamuun beekama ZXCVFIXVIBESEG10 irratti kan argamu

  • Next.js fooyyessuu: Battalumatti application kee gara version patched ta'etti haaromsi: 12.3.5, 13.5.9, 14.2.25, ykn 15.2.3 [S1, S2].

jedhamuun beekama ZXCVFIXVIBESEG11

  • Mata duree Harkaan Calaluu: Yoo fooyya'iinsi hatattamaa hin danda'amne, mataduree x-middleware-subrequest mata duree x-middleware-subrequest osoo isaan sarvarii Next.js [S1] hin ga'iin dura akka mulquuf Firewall Appilikeeshinii Weebii (WAF) kee qindeessii.

jedhamuun beekama ZXCVFIXVIBESEG12 irratti kan argamu

  • Vercel Bobba'iinsa: Bobba'iinsi Vercel irratti keessummeefame dallaa ibiddaa waltajjii [S2] tiin dursanii eegamu.