CVE-2025-29927: Next.js مڊل ويئر اٿارائيزيشن بائي پاس

اثر

هڪ حملو ڪندڙ Next.js ايپليڪيشنن ۾ سيڪيورٽي منطق ۽ اختيار جي چڪاس کي نظرانداز ڪري سگهي ٿو، ممڪن طور تي محدود وسيلن تائين مڪمل رسائي حاصل ڪري سگھي ٿو [S1]. هن خطري کي 9.1 جي CVSS اسڪور سان نازڪ طور درجه بندي ڪيو ويو آهي ڇاڪاڻ ته ان کي ڪنهن به استحقاق جي ضرورت ناهي ۽ نيٽ ورڪ تي استعمال ڪري سگهجي ٿو بغير صارف جي رابطي جي [S2].

بنيادي سبب

ڪمزوري ان ڪري ٿي آهي ته ڪيئن Next.js اندروني ذيلي درخواستن کي پروسيس ڪري ٿو ان جي مڊل ويئر آرڪيٽيڪچر [S1]. ايپليڪيشنون جيڪي اختيار ڪرڻ لاءِ مڊل ويئر تي ڀروسو ڪن ٿيون (CWE-863) حساس آهن جيڪڏهن اهي اندروني هيڊرز [S2] جي اصليت جي صحيح طور تي تصديق نه ڪن. خاص طور تي، هڪ خارجي حملو ڪندڙ x-middleware-subrequest هيڊر شامل ڪري سگھي ٿو انهن جي درخواست ۾ فريم ورڪ کي چال ڪرڻ لاءِ درخواست کي اڳ ۾ ئي بااختيار اندروني آپريشن جي طور تي علاج ڪرڻ لاءِ، مؤثر طريقي سان مڊل ويئر جي حفاظتي منطق [S1] کي ڇڏي ڏيڻ.

ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو

FixVibe ھاڻي ھن ۾ شامل آھي گيٽ ٿيل فعال چيڪ طور. ڊومين جي تصديق کان پوء، active.nextjs.middleware-bypass-cve-2025-29927 Next.js جي آخري پوائنٽن کي ڳولي ٿو جيڪو بيس لائين درخواست کي رد ڪري ٿو، پوء وچولي ويئر بائي پاس جي حالت لاء هڪ تنگ ڪنٽرول جاچ هلندو آهي. اهو صرف ان وقت رپورٽ ڪري ٿو جڏهن محفوظ رستو رد ٿيل کان پهچ ۾ تبديل ٿئي ٿو هڪ طريقي سان CVE-2025-29927 سان مطابقت رکي ٿو، ۽ فڪس پرامپٽ ريميڊيشن کي Next.js کي اپڊيٽ ڪرڻ تي ڌيان ڏئي ٿو ۽ اندروني مڊل ويئر هيڊر کي ڪنڊ تي بلاڪ ڪرڻ تائين پيچ ڪيو وڃي ٿو.

ڪنڪريٽ فيڪس

اپ گريڊ Next.js: پنهنجي ايپليڪيشن کي فوري طور تي اپڊيٽ ڪريو پيچ ٿيل ورجن: 12.3.5، 13.5.9، 14.2.25، يا 15.2.3 [S1, S2].
دستي هيڊر فلٽرنگ: جيڪڏهن فوري طور تي اپ گريڊ ممڪن نه هجي، پنهنجي ويب ايپليڪيشن فائر وال (WAF) کي ترتيب ڏيو يا x-middleware-subrequest هيڊر کي هٽائڻ لاءِ سڀني ايندڙ خارجي درخواستن کان پهريان اهي x-middleware-subrequest سرور تائين پهچن. [S1].
Vercel ڊيپلائيمينٽ: Vercel تي ميزباني ڪيل ترتيبون پليٽ فارم جي فائر وال [S2] پاران فعال طور تي محفوظ آهن.