Täsir
Hüjümçi, Next.js programmalarynda howpsuzlyk logikasy we ygtyýarnama barlaglaryndan aýlanyp biler, [S1] çäklendirilen çeşmelere doly girip biler. Bu gowşaklyk, CVSS 9.1 bal bilen kritiki toparlara bölünýär, sebäbi hiç hili artykmaçlygy talap etmeýär we [S2] ulanyjy bilen gatnaşygy bolmazdan torda ulanylyp bilner.
Kök sebäp
Gowşaklyk, Next.js, orta programma arhitekturasy [S1]-iň içerki kiçi haýyşlaryny gaýtadan işlemeginden gelip çykýar. Awtorizasiýa üçin orta programma üpjünçiligine bil baglaýan programmalar (CWE-863) [S2] içerki sözbaşylaryň gelip çykyşyny dogry tassyklamasa, ähtimal. Hususan-da, daşarky hüjümçi x-middleware-subrequest sözbaşysyny öz islegine eýýäm ygtyýarly içerki amal hökmünde garamak, orta programma üpjünçiliginiň howpsuzlyk logikasy [S1]-den geçmek baradaky haýyşyna goşup biler.
FixVibe munuň üçin nädip synag edýär
FixVibe indi muny derwezeli işjeň barlag hökmünde öz içine alýar. Domen barlagyndan soň, active.nextjs.middleware-bypass-cve-2025-29927 esasy haýyşy inkär edýän Next.js ahyrky nokatlaryny gözleýär, soňra orta programma üpjünçiliginiň aýlaw ýagdaýy üçin dar gözegçilik barlagyny geçirýär. Diňe goralýan ýoluň CVE-2025-29927 bilen gabat gelýän görnüşde üýtgedilip bilinjekdigi we düzediş buýrugy Next.js kämilleşdirilmegine we içerki orta programma üpjünçiliginiň sözbaşysynyň ýapylýança ýapylmagyna gönükdirilendigi habar berilýär.
Beton düzedişler
- Next.js täzeläň **: Arzaňyzy derrew ýasalan wersiýa täzeläň: 12.3.5, 13.5.9, 14.2.25 ýa-da 15.2.3 [S1, S2].
**
- Vercel ýerleşdirme : Vercel-de ýerleşdirilen enjamlar platformanyň gorag diwary [S2] bilen işjeň goralýar.