一、漏洞概述
|
漏洞名称
|
Next.js 中间件授权绕过漏洞
|
|
CVE ID
|
CVE-2025-29927
|
|
漏洞类型
|
授权绕过漏洞
|
发现时间
|
2025-03-24
|
|
漏洞评分
|
9.1
|
漏洞等级
|
严重
|
|
攻击向量
|
网络
|
所需权限
|
无
|
|
利用难度
|
低
|
用户交互
|
无
|
|
PoC/EXP
|
已公开
|
在野利用
|
未发现
|
Next.js是一个基于React的开源框架,用于构建现代web应用程序。它提供了服务器端渲染(SSR)、静态生成(SSG)、API路由等功能,支持快速构建高性能的全栈应用。Next.js提供了开发和生产环境的优化,易于部署,广泛应用于企业级应用和内容驱动的网站。
2025年3月24日,启明星辰集团VSRC监测到国外安全研究员在zhero-web-sec发布的文章中指出,Next.js 14.2.25及15.2.3之前的版本存在一个严重的中间件授权绕过漏洞。攻击者可以通过在请求中添加x-middleware-subrequest头部,绕过中间件的授权和认证检查,进而访问受保护的资源或绕过安全控制。该漏洞可能导致信息泄露、恶意数据访问等安全风险。该漏洞的CVSS评分为9.1,漏洞级别严重。
二、影响范围
11.1.4 <= next.js <= 13.5.6
14.0 <= next.js < 14.2.25
三、安全措施
https://github.com/vercel/next.js/releases/
如果无法立即升级,建议通过阻止包含x-middleware-subrequest头部的外部请求来减少风险。这可以通过配置Web服务器或使用防火墙规则来实现。
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
原文始发于微信公众号(启明星辰安全简讯):【漏洞通告】Next.js 中间件授权绕过漏洞(CVE-2025-29927)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3879292.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论