点击上方蓝字关注我们吧~
在 Next.js 中发现了一个严重漏洞,这是一种用于构建 Web 应用程序的流行 React 框架,名称为 CVE-2025-29927。
根据 Zeropath 的一份报告,这个关键缺陷允许攻击者绕过中间件实施的安全控制,对身份验证、授权和安全标头实施构成重大风险。
CVE-2025-29927:概述
该漏洞通过纵 x-middleware-subrequest 标头来工作,使攻击者能够绕过安全检查。
对于旧版本的 Next.js(12.2 之前),可以按如下方式构建标头:
x-middleware-subrequest: pages/_middleware在较新的版本中,标头需要重复模式:
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware对于使用 src 目录的设置,有必要将 middleware 替换为 src/middleware。
受影响的产品
下表突出显示了受此漏洞影响的 Next.js 版本:
| 产品版本 | 受影响的版本 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
缓解策略
建议用户立即采取行动以降低与 CVE-2025-29927 相关的风险:
- 更新Next.js版本:
-
对于使用 Next.js 15.x 的用户,请更新到版本 15.2.3 或更高版本。 -
对于使用 Next.js 14.x 的用户,请更新到版本 14.2.25 或更高版本。 - 边缘/代理标头阻止:
-
如果更新不可行,请在边缘或代理级别阻止 x-middleware-subrequest 标头。重要:不要尝试在中间件本身中阻止标头。
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):React框架Next.js存在严重漏洞(CVE-2025-29927)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论