速修复Next.js中严重的授权绕过漏洞

热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用，广泛用于大量企业，其中不乏一些全球最大的企业，因其“可通过扩展 React 的最新特性并集成强大的基于 Rust 的 JavaScript 工具以最快进行构建，创建全栈 web 应用”而为人熟知。不过，Next.js 最近发布安全公告披露了一个严重的授权绕过漏洞 (CVE-2025-29927)，值得开发人员关注。

CVE-2025-29927的CVSS评分为9.1，位于 Next.js 中间件中。Next.js 在安全公告中提到，“如果授权检查发生在中间件中，那么很可能在一个 Next.js 应用中绕过授权检查。”这意味着恶意人员可能能够越权访问依赖于中间件进行认证和授权的应用中受保护的资源和功能。

Next.js 中的中间件在请求到达应用路由之前对其进行拦截和处理中，发挥着重要作用。在中间件中执行授权逻辑时，通常仅允许获得认证和授权的用户访问应用的特定部分。新发现的这个漏洞可使攻击者绕过这些检查，可能导致严重后果如数据泄露、越权操作和服务中断。

Next.js 团队已发布打补丁版本，并明确了必须的安全更新：

如用户使用了其中一个主要版本，则升级至特定的补丁级别是缓解该漏洞的最重要一步。

对于仍然运行 Next.js 老旧版本的用户，尤其是11.1.4至13.5.6，可能无法直接应用最新补丁。在这种情况下，安全公告提供了一个重要的应变措施：“如果无法打补丁到安全版本，则建议阻止包含 x-middleware-subrequest 标头的外部用户请求触及 Next.js 应用。”该标头显然在该漏洞的利用过程中发挥了重要作用而阻止包含该漏洞的请求可能会形成一种临时的防护层。然而，该应变措施可能会对某些应用功能造成影响，完全升级到已修复版本应当仍然是最终的目标。