漏洞背景
近日,嘉诚安全监测到Next.js Middleware鉴权绕过漏洞,漏洞编号为:CVE-2025-29927
Next.js 是一个基于 React 的流行 Web 应用框架,提供服务器端渲染、静态网站生成和集成路由系统等功能。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞。PoC/EXP已公开。该漏洞源于Next.js使用中间件进行身份验证和授权的过程存在漏洞,该漏洞允许攻击者通过操作 x-middleware-subrequest 请求头来绕过基于中间件的安全控制,从而可能获得对受保护资源和敏感数据的未授权访问。
危害影响
影响版本:
15.* <= Next.js <15.2.3
14.* <= Next.js <14.2.25
11.1.4 <= Next.js <= 13.5.6
处置建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
修复缓解措施:
阻止包含x-middleware-subrequest标头的外部用户请求到达您的 Next.js 应用程序。
参考链接
[1]https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
[2]https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
[3]https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48
[4]https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
原文始发于微信公众号(嘉诚安全):【漏洞通告】Next.js Middleware鉴权绕过漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论