【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)

admin 2025年3月24日17:05:29评论12 views字数 1414阅读4分42秒阅读模式

【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)

Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 Node.js 模式和基于边缘计算(Edge Function)的运行模式,后者适用于轻量、高性能的服务逻辑。

2025 年 3 月,社区研究人员披露了 Next.js 中存在一个认证绕过漏洞(CVE-2025-29927)。该漏洞成因是框架中用于标记中间件递归请求的特殊请求头 `x-middleware-subrequest` 可被用户伪造,导致中间件处理链被绕过,进而影响基于中间件实现的身份认证、重定向等关键安全逻辑。由于使用该框架的应用较多,长亭安全研究员发现其影响部分热门AI应用。建议受影响的用户根据实际情况评估风险,立即修复此漏洞。

漏洞描述
 Description 
01

漏洞成因

Next.js 未对 x-middleware-subrequest 头部的来源进行严格验证,而是盲目信任其值。这一头部原本设计用于内部子请求管理,但未限制外部用户直接注入,导致攻击者可以利用其控制中间件的行为。

利用条件

应用使用了Next.js 框架,并在 middleware 中实现相关逻辑(例如中间件包含认证/鉴权逻辑,可能会导致授权绕过)

漏洞影响

认证绕过:攻击者无需认证即可访问受保护资源,例如后台管理页面、用户信息接口等。

安全策略失效:例如 CSP 设置、Header 注入等安全机制失效,可能间接导致 XSS 等风险。如其它安全过滤逻辑实现在 middleware,也会导致其绕过。

处置优先级:高

漏洞类型:逻辑漏洞

漏洞危害等级:

触发方式:网络远程

权限认证要求:无需认证

系统配置要求:默认配置(edge middleware 特性默认开启)

用户交互要求:无需用户交互

利用成熟度:POC已公开

修复复杂度:低,官方提供补丁修复方案

影响版本
Affects
02

11.1.4 <= next.js <= 13.5.6  

14.0.0 <= next.js <= 14.2.24  

15.0.0 <= next.js <= 15.2.2

修复版本:14.2.25、15.2.3

解决方案
 Solution 
03

临时缓解方案

在无法立即升级的情况下,可考虑以下措施:

  1. 移除恶意头部:在业务逻辑入口处手动过滤所有外部请求中的 x-middleware-subrequest 请求头。

  2. 请求头过滤:通过 Nginx 或 CDN 网关、WAF等安全设备统一剥离或拦截该请求头。

升级修复方案

Next.js 官方已发布安全通告并发布了修复版本14.2.25、15.2.3,请尽快下载安全版本修复漏洞。
漏洞复现
Reproduction 
04

【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)

时间线
 Timeline 
05

3月23日 互联网公开披露该漏洞

3月23日 长亭应急安全实验室复现漏洞

3月24日 长亭安全应急响应中心发布通告

参考资料:

[1].https://github.com/advisories/GHSA-f82v-jwr5-mffw

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时,守护您的安全

第一时间找到我们:

邮箱:[email protected]

原文始发于微信公众号(长亭安全应急响应中心):【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日17:05:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)https://cn-sec.com/archives/3878383.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息