Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 Node.js 模式和基于边缘计算(Edge Function)的运行模式,后者适用于轻量、高性能的服务逻辑。
2025 年 3 月,社区研究人员披露了 Next.js 中存在一个认证绕过漏洞(CVE-2025-29927)。该漏洞成因是框架中用于标记中间件递归请求的特殊请求头 `x-middleware-subrequest` 可被用户伪造,导致中间件处理链被绕过,进而影响基于中间件实现的身份认证、重定向等关键安全逻辑。由于使用该框架的应用较多,长亭安全研究员发现其影响部分热门AI应用。建议受影响的用户根据实际情况评估风险,立即修复此漏洞。
漏洞成因
Next.js 未对 x-middleware-subrequest 头部的来源进行严格验证,而是盲目信任其值。这一头部原本设计用于内部子请求管理,但未限制外部用户直接注入,导致攻击者可以利用其控制中间件的行为。
利用条件
应用使用了Next.js 框架,并在 middleware 中实现相关逻辑(例如中间件包含认证/鉴权逻辑,可能会导致授权绕过)
漏洞影响
认证绕过:攻击者无需认证即可访问受保护资源,例如后台管理页面、用户信息接口等。
安全策略失效:例如 CSP 设置、Header 注入等安全机制失效,可能间接导致 XSS 等风险。如其它安全过滤逻辑实现在 middleware,也会导致其绕过。
处置优先级:高
漏洞类型:逻辑漏洞
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需认证
系统配置要求:默认配置(edge middleware 特性默认开启)
用户交互要求:无需用户交互
利用成熟度:POC已公开
修复复杂度:低,官方提供补丁修复方案
11.1.4 <= next.js <= 13.5.6
14.0.0 <= next.js <= 14.2.24
15.0.0 <= next.js <= 15.2.2
修复版本:14.2.25、15.2.3
临时缓解方案
在无法立即升级的情况下,可考虑以下措施:
-
移除恶意头部:在业务逻辑入口处手动过滤所有外部请求中的
x-middleware-subrequest
请求头。 -
请求头过滤:通过 Nginx 或 CDN 网关、WAF等安全设备统一剥离或拦截该请求头。
升级修复方案
3月23日 互联网公开披露该漏洞
3月23日 长亭应急安全实验室复现漏洞
3月24日 长亭安全应急响应中心发布通告
参考资料:
[1].https://github.com/advisories/GHSA-f82v-jwr5-mffw
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们:
原文始发于微信公众号(长亭安全应急响应中心):【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论