Вплив
Зловмисник може обійти логіку безпеки та перевірку авторизації в програмах Next.js, потенційно отримуючи повний доступ до обмежених ресурсів [S1]. Ця вразливість класифікується як критична з оцінкою CVSS 9,1, оскільки вона не вимагає привілеїв і може бути використана в мережі без взаємодії з користувачем [S2].
Основна причина
Уразливість виникає через те, як Next.js обробляє внутрішні підзапити в межах своєї архітектури проміжного програмного забезпечення [S1]. Програми, які покладаються на проміжне програмне забезпечення для авторизації (CWE-863), уразливі, якщо вони не перевіряють належним чином походження внутрішніх заголовків [S2]. Зокрема, зовнішній зловмисник може включити заголовок x-middleware-subrequest у свій запит, щоб обманом змусити структуру розглядати запит як уже авторизовану внутрішню операцію, фактично пропускаючи логіку безпеки проміжного програмного забезпечення [S1].
Як FixVibe перевіряє це
FixVibe тепер включає це як закритий активний чек. Після перевірки домену active.nextjs.middleware-bypass-cve-2025-29927 шукає кінцеві точки Next.js, які відхиляють базовий запит, а потім запускає вузький контрольний тест для умови обходу проміжного програмного забезпечення. Він повідомляє лише тоді, коли захищений маршрут змінюється із забороненого на доступний відповідно до CVE-2025-29927, а запит на виправлення зосереджує виправлення на оновленні Next.js і блокує внутрішній заголовок проміжного програмного забезпечення на межі, доки не буде виправлено.
Конкретні виправлення
- Оновити Next.js: Негайно оновіть програму до виправленої версії: 12.3.5, 13.5.9, 14.2.25 або 15.2.3 [S1, S2].
- Фільтрування заголовків вручну: якщо негайне оновлення неможливе, налаштуйте брандмауер веб-додатків (WAF) або зворотний проксі-сервер, щоб видалити заголовок
x-middleware-subrequestз усіх вхідних зовнішніх запитів, перш ніж вони досягнуть Next.js сервера [S1]. - Розгортання Vercel: розгортання, розміщені на Vercel, проактивно захищені брандмауером платформи [S2].