اغیزې
یو برید کونکی کولی شي په Next.js غوښتنلیکونو کې د امنیت منطق او د جواز چکونو ته مخه کړي، په بالقوه توګه محدودو سرچینو ته بشپړ لاسرسی ترلاسه کوي [S1]. دا زیانمنتیا د 9.1 د CVSS نمرې سره د جدي په توګه طبقه بندي شوې ځکه چې دا هیڅ امتیاز ته اړتیا نلري او د کارونکي متقابل عمل [S2] پرته په شبکه کې کارول کیدی شي.
اصلي لامل
زیانمنتیا له دې څخه رامینځته کیږي چې څنګه Next.js په خپل مینځني جوړښت [S1] کې داخلي فرعي غوښتنې پروسس کوي. هغه غوښتنلیکونه چې د اجازې لپاره په مینځني وسایلو تکیه کوي (CWE-863) حساس دي که چیرې دوی د داخلي سرلیکونو اصل په سمه توګه تایید نه کړي [S2]. په ځانګړې توګه، یو بهرنی برید کونکی کولی شي د x-middleware-subrequest سرلیک د دوی په غوښتنه کې شامل کړي ترڅو د غوښتنې سره د دمخه د مجاز داخلي عملیاتو په توګه چلند کولو لپاره چوکاټ چالاک کړي، په مؤثره توګه د منځني ویئر امنیت منطق [S1] پریږدي.
څنګه FixVibe د دې لپاره ازموینه کوي
FixVibe اوس دا د فعال فعال چیک په توګه شامل دي. د ډومین تصدیق وروسته، active.nextjs.middleware-bypass-cve-2025-29927 د Next.js پای ټکي لټوي چې د بیس لاین غوښتنه ردوي، بیا د منځني بای پاس حالت لپاره د محدود کنټرول تحقیقات پرمخ وړي. دا یوازې هغه وخت راپور ورکوي کله چې خوندي لاره د CVE-2025-29927 سره په مطابقت کې له انکار څخه لاسرسي ته بدلیږي ، او د فکس پرامپټ د Next.js لوړولو او د پیچلي کیدو پورې په څنډه کې د داخلي میډرویر سرلیک بلاک کولو باندې تمرکز ساتي.
کانکریټ اصلاحات
- Next.js لوړ کړئ: سمدستي خپل غوښتنلیک پیچ شوي نسخه ته تازه کړئ: 12.3.5، 13.5.9، 14.2.25، یا 15.2.3 [S1, S2].
- د لاسي سرلیک فلټر کول: که سمدستي اپ گریڈ ممکن نه وي، خپل ویب اپلیکیشن فایروال (WAF) تنظیم کړئ یا د
x-middleware-subrequestسرلیک د ټولو راتلونکو بهرنیو غوښتنو څخه دx-middleware-subrequestسرلیک څخه لرې کړئ مخکې له دې چې دوی ZXCVFIXVIBETOKEN2 سرور ته ورسیږي. [S1]. - Vercel ګومارنه: په Vercel کې کوربه توب په فعاله توګه د پلیټ فارم فایر وال [S2] لخوا خوندي کیږي.