Vplyv
Útočník môže obísť bezpečnostnú logiku a kontroly autorizácie v aplikáciách Next.js a potenciálne tak získať úplný prístup k obmedzeným zdrojom [S1]. Táto chyba zabezpečenia je klasifikovaná ako kritická so skóre CVSS 9,1, pretože nevyžaduje žiadne privilégiá a možno ju zneužiť v sieti bez interakcie používateľa [S2].
Hlavná príčina
Zraniteľnosť vyplýva z toho, ako Next.js spracováva interné čiastkové požiadavky v rámci svojej middlevérovej architektúry [S1]. Aplikácie, ktoré sa pri autorizácii spoliehajú na middleware (CWE-863), sú náchylné, ak správne neoveria pôvod interných hlavičiek [S2]. Externý útočník môže do svojej požiadavky zahrnúť hlavičku x-middleware-subrequest, aby oklamal rámec, aby spracoval požiadavku ako už autorizovanú internú operáciu, čím efektívne preskočí bezpečnostnú logiku middlewaru [S1].
Ako to testuje FixVibe
FixVibe to teraz zahŕňa ako uzavretú aktívnu kontrolu. Po overení domény active.nextjs.middleware-bypass-cve-2025-29927 vyhľadá koncové body Next.js, ktoré odmietajú základnú požiadavku, a potom spustí úzku kontrolnú sondu pre podmienku obídenia middlewaru. Hlási sa iba vtedy, keď sa chránená trasa zmení z odmietnutej na prístupnú spôsobom konzistentným so CVE-2025-29927 a výzva na opravu sa zameriava na aktualizáciu Next.js a zablokovanie internej hlavičky middlewaru na okraji, kým nebude opravená.
Opravy betónu
- Inovácia Next.js: Okamžite aktualizujte svoju aplikáciu na opravenú verziu: 12.3.5, 13.5.9, 14.2.25 alebo 15.2.3 [S1, S2].
- Manuálne filtrovanie hlavičiek: Ak nie je možná okamžitá inovácia, nakonfigurujte bránu firewall webových aplikácií (WAF) alebo reverzný proxy server tak, aby odstránil hlavičku
x-middleware-subrequestzo všetkých prichádzajúcich externých požiadaviek skôr, ako sa dostanú na server [S1]. - Nasadenie Vercel: Nasadenia hostené na Vercel sú proaktívne chránené firewallom platformy [S2].