FixVibe
Covered by FixVibecritical

ЗКСЦВФИКСВИБЕСЕГ0 ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ: ЗКСЦВФИКСВИБЕТОКЕН1ЗКСЦВ Заобилажење ауторизације средњег софтвера ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ1 ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ заобилажење ауторизације средњег софтвера путем лажирања заглавља к-миддлеваре-субрекуест. Утиче на верзије од 11.к до 15.к. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ2 Критична рањивост у ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ омогућава нападачима да заобиђу провере ауторизације имплементиране у међуверату. Лажирањем интерних заглавља, екстерни захтеви могу да се маскирају као овлашћени под-захтеви, што доводи до неовлашћеног приступа заштићеним рутама и подацима. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ3 ## Импацт ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ4 Нападач може да заобиђе безбедносну логику и провере ауторизације у ЗКСЦВФИКСВИБЕТОКЕН2ЗКСЦВ апликацијама, потенцијално добијајући пун приступ ограниченим ресурсима ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ. Ова рањивост је класификована као критична са ЦВСС оценом 9,1 јер не захтева никакве привилегије и може се користити преко мреже без интеракције корисника ЗКСЦВФИКСВИБЕТОКЕН1ЗКСЦВ. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ5 ## Основни узрок ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ6 Рањивост произилази из тога како ЗКСЦВФИКСВИБЕТОКЕН5ЗКСЦВ обрађује интерне под-захтеве унутар своје архитектуре међувера ЗКСЦВФИКСВИБЕТОКЕН1ЗКСЦВ. Апликације које се ослањају на посредни софтвер за ауторизацију (ЗКСЦВФИКСВИБЕТОКЕН4ЗКСЦВ) су подложне ако не потврђују исправно порекло интерних заглавља ЗКСЦВФИКСВИБЕТОКЕН2ЗКСЦВ. Конкретно, екстерни нападач може укључити заглавље ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ у свој захтев како би преварио оквир да третира захтев као већ овлашћену интерну операцију, ефективно прескачући безбедносну логику средњег софтвера ЗКСЦВФИКСВИБЕТОКЕН3ЗКСЦВ. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ7 ## Како ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ тестира за то ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ8 ЗКСЦВФИКСВИБЕТОКЕН2ЗКСЦВ сада укључује ово као активну проверу са ограничењем. Након верификације домена, ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ тражи крајње тачке ЗКСЦВФИКСВИБЕТОКЕН3ЗКСЦВ које одбијају основни захтев, а затим покреће уску контролну пробу за услов заобилажења међувера. Извештава само када се заштићена рута промени из одбијене у приступачну на начин који је у складу са ЗКСЦВФИКСВИБЕТОКЕН1ЗКСЦВ, а промпт за поправку држи поправку усмерену на надоградњу ЗКСЦВФИКСВИБЕТОКЕН4ЗКСЦВ и блокирање интерног заглавља међувера на ивици док се не закрпи. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ9 ## Бетонске поправке ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ10 * **Надоградња ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ**: Одмах ажурирајте своју апликацију на закрпљену верзију: 12.3.5, 13.5.9, 14.2.25 или 15.2.3 [С1, С2]. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ11 * **Ручно филтрирање заглавља**: Ако тренутна надоградња није могућа, конфигуришите заштитни зид веб апликације (ВАФ) или обрнути прокси да скинете заглавље ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ из свих долазних спољних захтева пре него што стигну до сервера ЗКСЦВФИКСВИБЕТОКЕН2ЗКСЦВ ЗКСЦВФИКС ЗКСЦВФИКС. ЗКСЦВФИКСВИБЕСЕГЕНД ЗКСЦВФИКСВИБЕСЕГ12 * **Примена ЗКСЦВФИКСВИБЕТОКЕН1ЗКСЦВ**: Примене хостоване на ЗКСЦВФИКСВИБЕТОКЕН2ЗКСЦВ проактивно су заштићене заштитним зидом платформе ЗКСЦВФИКСВИБЕТОКЕН0ЗКСЦВ.

A critical vulnerability in Next.js allows attackers to bypass authorization checks implemented in middleware. By spoofing internal headers, external requests can masquerade as authorized sub-requests, leading to unauthorized access to protected routes and data.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impact

An attacker can bypass security logic and authorization checks in Next.js applications, potentially gaining full access to restricted resources [S1]. This vulnerability is classified as critical with a CVSS score of 9.1 because it requires no privileges and can be exploited over the network without user interaction [S2].

Root Cause

The vulnerability stems from how Next.js processes internal sub-requests within its middleware architecture [S1]. Applications that rely on middleware for authorization (CWE-863) are susceptible if they do not properly validate the origin of internal headers [S2]. Specifically, an external attacker can include the x-middleware-subrequest header in their request to trick the framework into treating the request as an already-authorized internal operation, effectively skipping the middleware's security logic [S1].

How FixVibe tests for it

FixVibe now includes this as a gated active check. After domain verification, active.nextjs.middleware-bypass-cve-2025-29927 looks for Next.js endpoints that deny a baseline request, then runs a narrow control probe for the middleware bypass condition. It reports only when the protected route changes from denied to accessible in a way consistent with CVE-2025-29927, and the fix prompt keeps remediation focused on upgrading Next.js and blocking the internal middleware header at the edge until patched.

Concrete Fixes

  • Upgrade Next.js: Immediately update your application to a patched version: 12.3.5, 13.5.9, 14.2.25, or 15.2.3 [S1, S2].
  • Manual Header Filtering: If an immediate upgrade is not possible, configure your Web Application Firewall (WAF) or reverse proxy to strip the x-middleware-subrequest header from all incoming external requests before they reach the Next.js server [S1].
  • Vercel Deployment: Deployments hosted on Vercel are proactively protected by the platform's firewall [S2].