Aafiaga
E mafai e le tagata osofa'i ona fa'aloaloa fa'atatau i le puipuiga ma siaki fa'atagaga i talosaga a le Next.js, e ono maua ai le avanoa atoatoa i puna'oa fa'asaina [S1]. O lenei fa'aletonu ua fa'avasegaina e taua tele i le CVSS score o le 9.1 aua e le mana'omia ni fa'amanuiaga ma e mafai ona fa'aogaina i luga ole feso'ota'iga e aunoa ma le fa'aogaina ole tagata fa'aoga [S2].
Mafua'aga
O le fa'aletonu e afua mai i le fa'aogaina e le Next.js i totonu ole laiga-talosaga i totonu o lona fausaga ogatotonu [S1]. O talosaga e fa'alagolago ile middleware mo le fa'atagaina (CWE-863) e faigofie pe a latou le fa'amaonia lelei le amataga o ulutala i totonu [S2]. Aemaise lava, o se osofaʻiga i fafo e mafai ona aofia ai le ulutala x-middleware-subrequest i la latou talosaga e faʻaʻoleʻole le faʻavae i le togafitia o le talosaga e pei o se faʻagaioiga i totonu ua uma ona faʻatagaina, faʻafefeteina le manatu saogalemu o le middleware [S1].
Fa'afefea ona su'e le FixVibe
O le FixVibe o lo'o aofia ai lenei mea o se siaki fa'agaioia. A mae'a fa'amaoniga a le vaega, e su'e e active.nextjs.middleware-bypass-cve-2025-29927 fa'ai'uga Next.js e fa'afitia se talosaga fa'avae, ona fa'atautaia lea o se su'esu'ega va'ai va'ai mo le tulaga e ala i le middleware. E lipoti na'o pe a suia le auala puipuia mai le teena e mafai ona maua i se auala e ogatasi ma le CVE-2025-29927, ma o le vave fa'aleleia e fa'atumauina le fa'aleleia o le fa'aleleia o le Next.js ma poloka le ulu o le middleware i totonu i le pito seia o'o ina patched.
Fa'atonu Sima
- Faʻaleleia le Next.js: Faʻafou vave lau talosaga i se faʻasologa faʻapipiʻi: 12.3.5, 13.5.9, 14.2.25, poʻo le 15.2.3 [S1, S2].
- Fili'ili Ulutala Manu'a: Afai e le mafai ona toe fa'aleleia vave, fa'atulaga lau Uepi Talosaga Firewall (WAF) po'o le sui sui e aveese le ulutala
x-middleware-subrequestmai talosaga uma mai fafo a'o le'i o'o atu i le Next.js server ZXCVFIXZVIBECTOK. - Vercel Deployment: Deployments talimalo i luga o le Vercel o loʻo puipuia ma le faʻamalosi e le faʻapipiʻi afi [S2].