FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js மிடில்வேர் அங்கீகார பைபாஸ் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG1 CVE-2025-29927 மிடில்வேர் அங்கீகாரம் x-middleware-subrequest header spoofing வழியாக பைபாஸ். 11.x முதல் 15.x வரையிலான பதிப்புகளைப் பாதிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG2 CVE-2025-29927 இல் உள்ள முக்கியமான பாதிப்பு, மிடில்வேரில் செயல்படுத்தப்பட்ட அங்கீகாரச் சோதனைகளைத் தாக்குபவர்களைத் தவிர்க்க அனுமதிக்கிறது. உள் தலைப்புகளை ஏமாற்றுவதன் மூலம், வெளிப்புறக் கோரிக்கைகள் அங்கீகரிக்கப்பட்ட துணைக் கோரிக்கைகளாக மாறக்கூடும், இது பாதுகாக்கப்பட்ட வழிகள் மற்றும் தரவுகளுக்கான அங்கீகரிக்கப்படாத அணுகலுக்கு வழிவகுக்கும். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG3 ## பாதிப்பு ZXCVFIXVIBESGEND ZXCVFIXVIBESEG4 ZXCVFIXVIBETOKEN2ZXCV பயன்பாடுகளில் பாதுகாப்பு தர்க்கம் மற்றும் அங்கீகாரச் சரிபார்ப்புகளைத் தாக்குபவர் கடந்து செல்லலாம், தடைசெய்யப்பட்ட ஆதாரங்களுக்கான முழு அணுகலைப் பெறலாம் CVE-2025-29927. இந்த பாதிப்பு 9.1 CVSS மதிப்பெண்ணுடன் முக்கியமானதாக வகைப்படுத்தப்பட்டுள்ளது, ஏனெனில் இதற்கு எந்த சலுகைகளும் தேவையில்லை மற்றும் பயனர் தொடர்பு இல்லாமல் Next.js நெட்வொர்க்கில் பயன்படுத்திக் கொள்ளலாம். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG5 ## மூல காரணம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG6 ZXCVFIXVIBETOKEN5ZXCV ஆனது அதன் மிடில்வேர் கட்டமைப்பான Next.jsக்குள் உள் துணை கோரிக்கைகளை எவ்வாறு செயலாக்குகிறது என்பதிலிருந்து பாதிப்பு ஏற்படுகிறது. அங்கீகாரத்திற்காக மிடில்வேரை நம்பியிருக்கும் பயன்பாடுகள் (ZXCVFIXVIBETOKEN4ZXCV) ZXCVFIXVIBETOKEN2ZXCV இன் உள் தலைப்புகளின் தோற்றத்தை சரியாகச் சரிபார்க்கவில்லை என்றால், அவை எளிதில் பாதிக்கப்படும். குறிப்பாக, மிடில்வேரின் பாதுகாப்பு தர்க்கமான ZXCVFIXVIBETOKEN3ZXCV ஐத் திறம்படத் தவிர்த்து, கோரிக்கையை ஏற்கனவே அங்கீகரிக்கப்பட்ட உள் செயல்பாடாகக் கருதுவதற்கான கட்டமைப்பை ஏமாற்றுவதற்கான அவர்களின் கோரிக்கையில் வெளிப்புற தாக்குபவர் CVE-2025-29927 தலைப்பைச் சேர்க்கலாம். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG7 ## அதை எப்படி CVE-2025-29927 சோதிக்கிறது ZXCVFIXVIBESGEND ZXCVFIXVIBESEG8 ZXCVFIXVIBETOKEN2ZXCV இப்போது இது ஒரு கேடட் ஆக்டிவ் காசோலையாக சேர்க்கப்பட்டுள்ளது. டொமைன் சரிபார்ப்பிற்குப் பிறகு, CVE-2025-29927 அடிப்படைக் கோரிக்கையை மறுக்கும் ZXCVFIXVIBETOKEN3ZXCV இறுதிப்புள்ளிகளைத் தேடுகிறது, பின்னர் மிடில்வேர் பைபாஸ் நிலைக்கான குறுகிய கட்டுப்பாட்டு ஆய்வை இயக்குகிறது. பாதுகாக்கப்பட்ட பாதையானது Next.js உடன் ஒத்துப்போகும் விதத்தில் மறுக்கப்படுவதிலிருந்து அணுகக்கூடியதாக மாறும்போது மட்டுமே அது அறிக்கையிடுகிறது, மேலும் சரிசெய்தல் வரியானது ZXCVFIXVIBETOKEN4ZXCVஐ மேம்படுத்துவதிலும் உள் மிடில்வேர் தலைப்பை விளிம்பில் தடுப்பதிலும் கவனம் செலுத்துகிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG9 ## கான்கிரீட் திருத்தங்கள் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG10 * ** மேம்படுத்தவும் CVE-2025-29927**: உடனடியாக உங்கள் விண்ணப்பத்தை இணைக்கப்பட்ட பதிப்பிற்கு புதுப்பிக்கவும்: 12.3.5, 13.5.9, 14.2.25, அல்லது 15.2.3 [S1, S2]. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG11 * **மேனுவல் ஹெடர் வடிகட்டுதல்**: உடனடி மேம்படுத்தல் சாத்தியமில்லை என்றால், CVE-2025-29927 என்ற தலைப்பை CVE-2025-29927 சர்வீஸ் சேவையை அடைவதற்கு முன், உங்கள் இணைய பயன்பாட்டு ஃபயர்வால் (WAF) அல்லது ரிவர்ஸ் ப்ராக்ஸியை உள்ளமைக்கவும். Next.js. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG12 * **Next.js வரிசைப்படுத்தல்**: ZXCVFIXVIBETOKEN2ZXCV இல் ஹோஸ்ட் செய்யப்பட்ட வரிசைப்படுத்தல்கள் இயங்குதளத்தின் ஃபயர்வால் CVE-2025-29927 மூலம் முன்கூட்டியே பாதுகாக்கப்படுகின்றன.

A critical vulnerability in Next.js allows attackers to bypass authorization checks implemented in middleware. By spoofing internal headers, external requests can masquerade as authorized sub-requests, leading to unauthorized access to protected routes and data.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impact

An attacker can bypass security logic and authorization checks in Next.js applications, potentially gaining full access to restricted resources [S1]. This vulnerability is classified as critical with a CVSS score of 9.1 because it requires no privileges and can be exploited over the network without user interaction [S2].

Root Cause

The vulnerability stems from how Next.js processes internal sub-requests within its middleware architecture [S1]. Applications that rely on middleware for authorization (CWE-863) are susceptible if they do not properly validate the origin of internal headers [S2]. Specifically, an external attacker can include the x-middleware-subrequest header in their request to trick the framework into treating the request as an already-authorized internal operation, effectively skipping the middleware's security logic [S1].

How FixVibe tests for it

FixVibe now includes this as a gated active check. After domain verification, active.nextjs.middleware-bypass-cve-2025-29927 looks for Next.js endpoints that deny a baseline request, then runs a narrow control probe for the middleware bypass condition. It reports only when the protected route changes from denied to accessible in a way consistent with CVE-2025-29927, and the fix prompt keeps remediation focused on upgrading Next.js and blocking the internal middleware header at the edge until patched.

Concrete Fixes

  • Upgrade Next.js: Immediately update your application to a patched version: 12.3.5, 13.5.9, 14.2.25, or 15.2.3 [S1, S2].
  • Manual Header Filtering: If an immediate upgrade is not possible, configure your Web Application Firewall (WAF) or reverse proxy to strip the x-middleware-subrequest header from all incoming external requests before they reach the Next.js server [S1].
  • Vercel Deployment: Deployments hosted on Vercel are proactively protected by the platform's firewall [S2].