Etki
Bir saldırgan, Next.js uygulamalarındaki güvenlik mantığını ve yetkilendirme kontrollerini atlayabilir ve potansiyel olarak kısıtlı [S1] kaynaklarına tam erişim elde edebilir. Bu güvenlik açığı, CVSS puanı 9,1 ile kritik olarak sınıflandırılmıştır çünkü hiçbir ayrıcalık gerektirmez ve kullanıcı etkileşimi olmadan ağ üzerinden kullanılabilir [S2].
Temel Neden
Güvenlik açığı, Next.js'nin, [S1] ara yazılım mimarisi içindeki dahili alt istekleri işleme biçiminden kaynaklanmaktadır. Yetkilendirme için ara yazılıma (CWE-863) dayanan uygulamalar, [S2] dahili üstbilgilerinin kaynağını doğru şekilde doğrulamazlarsa bu durumdan etkilenir. Spesifik olarak, harici bir saldırgan, çerçeveyi, isteği zaten yetkili bir dahili işlem olarak ele alacak şekilde kandırmak ve ara yazılımın güvenlik mantığını [S1] etkili bir şekilde atlamak için x-middleware-subrequest başlığını isteğine ekleyebilir.
FixVibe bunu nasıl test ediyor?
FixVibe artık bunu geçitli bir aktif kontrol olarak içeriyor. Etki alanı doğrulamasının ardından active.nextjs.middleware-bypass-cve-2025-29927, temel isteği reddeden Next.js uç noktalarını arar ve ardından ara yazılım atlama koşulu için dar bir kontrol araştırması çalıştırır. Yalnızca korumalı rota CVE-2025-29927 ile tutarlı bir şekilde reddedilen rotadan erişilebilir durumuna değiştiğinde rapor verir ve düzeltme istemi, düzeltmenin Next.js'yi yükseltmeye ve yama uygulanana kadar kenardaki dahili ara yazılım başlığını engellemeye odaklanmasını sağlar.
Beton Düzeltmeleri
- Next.js'yi yükseltin: Uygulamanızı hemen yamalı bir sürüme güncelleyin: 12.3.5, 13.5.9, 14.2.25 veya 15.2.3 [S1, S2].
- Manuel Başlık Filtreleme: Hemen yükseltme mümkün değilse, Web Uygulaması Güvenlik Duvarınızı (WAF) veya ters proxy'nizi,
x-middleware-subrequestüstbilgisini, Next.js sunucusu [S1]'ye ulaşmadan önce tüm gelen harici isteklerden çıkaracak şekilde yapılandırın. - Vercel Dağıtımı: Vercel'de barındırılan dağıtımlar, platformun güvenlik duvarı [S2] tarafından proaktif olarak korunur.