Impact
Un atacator poate ocoli logica de securitate și verificările de autorizare în aplicațiile Next.js, obținând posibil acces deplin la resursele restricționate [S1]. Această vulnerabilitate este clasificată ca critică cu un scor CVSS de 9,1 deoarece nu necesită privilegii și poate fi exploatată în rețea fără interacțiunea utilizatorului [S2].
Cauza fundamentală
Vulnerabilitatea provine din modul în care Next.js procesează sub-cereri interne în arhitectura sa middleware [S1]. Aplicațiile care se bazează pe middleware pentru autorizare (CWE-863) sunt susceptibile dacă nu validează corect originea antetelor interne [S2]. Mai exact, un atacator extern poate include antetul x-middleware-subrequest în cererea sa de a păcăli cadrul să trateze cererea ca o operațiune internă deja autorizată, sărind efectiv logica de securitate a middleware-ului [S1].
Cum testează FixVibe pentru aceasta
FixVibe include acum acest lucru ca verificare activă cu blocare. După verificarea domeniului, active.nextjs.middleware-bypass-cve-2025-29927 caută punctele finale Next.js care resping o solicitare de bază, apoi rulează o sondă de control îngustă pentru condiția de ocolire a middleware-ului. Raportează numai atunci când ruta protejată se schimbă de la refuzată la accesibilă într-un mod compatibil cu CVE-2025-29927, iar promptul de remediere menține remedierea concentrată pe actualizarea Next.js și blocarea antetului middleware intern la margine până la corecție.
Remedieri concrete
- Faceți upgrade Next.js: actualizați imediat aplicația la o versiune corectată: 12.3.5, 13.5.9, 14.2.25 sau 15.2.3 [S1, S2].
- Filtrare manuală a antetului: Dacă nu este posibilă o actualizare imediată, configurați aplicația Web Firewall (WAF) sau proxy invers pentru a elimina antetul
x-middleware-subrequestde la toate solicitările externe primite înainte ca acestea să ajungă la serverul Next.js ZXCVFIXVIBETOKEN1ZXVIBECV. - Vercel Deployment: implementările găzduite pe Vercel sunt protejate proactiv de firewall-ul platformei [S2].