බලපෑම
ප්රහාරකයෙකුට Next.js යෙදුම්වල ආරක්ෂක තාර්කික සහ අවසර පිරික්සුම් මඟ හැරිය හැක, සීමා කළ සම්පත් [S1] වෙත පූර්ණ ප්රවේශය ලබා ගත හැක. මෙම අවදානම 9.1 CVSS ලකුණු සමඟ තීරනාත්මක ලෙස වර්ගීකරණය කර ඇත මන්ද එයට කිසිදු වරප්රසාදයක් අවශ්ය නොවන අතර පරිශීලක අන්තර්ක්රියාවකින් තොරව [S2] ජාලය හරහා ප්රයෝජන ගත හැක.
මූල හේතුව
අවදානම පැනනගින්නේ Next.js එහි මිඩ්ල්වෙයාර් ගෘහ නිර්මාණ ශිල්පය [S1] තුළ අභ්යන්තර උප-ඉල්ලීම් සකසන ආකාරයෙනි. අවසරය සඳහා මිඩ්ල්වෙයාර් මත යැපෙන යෙදුම් (CWE-863) [S2] අභ්යන්තර ශීර්ෂවල මූලාරම්භය නිසි ලෙස වලංගු නොකරන්නේ නම් ඒවාට ගොදුරු විය හැක. විශේෂයෙන්ම, බාහිර ප්රහාරකයෙකුට x-middleware-subrequest ශීර්ෂකය ඔවුන්ගේ ඉල්ලීමෙහි ඇතුළත් කළ හැක, එම ඉල්ලීම දැනටමත් බලයලත් අභ්යන්තර ක්රියාවක් ලෙස සැලකීමට රාමුව රැවටීමට, මැදවෙයාර් ආරක්ෂණ තර්කය වන [S1] ඵලදායී ලෙස මග හරියි.
FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය
FixVibe දැන් මෙය දොරටු සක්රිය පරීක්ෂාවක් ලෙස ඇතුළත් වේ. වසම් සත්යාපනයෙන් පසුව, active.nextjs.middleware-bypass-cve-2025-29927 මූලික ඉල්ලීමක් ප්රතික්ෂේප කරන Next.js අන්ත ලක්ෂ්ය සොයයි, ඉන්පසු මිඩ්ල්වෙයාර් බයිපාස් තත්ත්වය සඳහා පටු පාලන පරීක්ෂණයක් ධාවනය කරයි. එය වාර්තා කරන්නේ ආරක්ෂිත මාර්ගය CVE-2025-29927 ට අනුකූලව ප්රවේශ විය හැකි ආකාරයට වෙනස් වූ විට පමණක් වන අතර, Fix Prompt මඟින් Next.js උත්ශ්රේණි කිරීම සහ පැච් කරන තෙක් අභ්යන්තර මිඩ්ල්වෙයාර් ශීර්ෂකය කෙළවරේ අවහිර කිරීම කෙරෙහි අවධානය යොමු කරයි.
කොන්ක්රීට් සවි කිරීම්
- උත්ශ්රේණිගත කරන්න Next.js: ඔබේ යෙදුම පැච් කළ අනුවාදයකට වහාම යාවත්කාලීන කරන්න: 12.3.5, 13.5.9, 14.2.25, හෝ 15.2.3 [S1, S2].
- අතින් ශීර්ෂ පෙරීම: ක්ෂණික උත්ශ්රේණිගත කිරීමක් කළ නොහැකි නම්, Next.jsFIXVIBETOKEN2ZXCVFIXVIBETOKEN2Z වෙත පැමිණෙන සියලුම බාහිර ඉල්ලීම් වලින්
x-middleware-subrequestශීර්ෂකය ඉවත් කිරීමට ඔබේ වෙබ් යෙදුම් ෆයර්වෝල් (WAF) හෝ ප්රතිලෝම ප්රොක්සිය වින්යාස කරන්න. [S1]. - Vercel යෙදවීම: Vercel හි සත්කාරකත්වය සපයන ලද යෙදවීම් වේදිකාවේ ෆයර්වෝලය [S2] මගින් සක්රීයව ආරක්ෂා කර ඇත.