攻击者可利用Next.js严重漏洞绕过中间件身份验证检查

Next.js React框架维护团队发布12.3.5、13.5.9、14.2.25和15.2.3版本，修复了编号CVE-2025-29927的高危漏洞（CVSS评分9.1）。  

官方公告称："Next.js 15.2.3版本已修复该安全漏洞（CVE-2025-29927），同时提供了向后移植的补丁程序。建议所有使用next start及output: 'standalone'模式的自托管部署立即升级。"  

该漏洞可能导致攻击者绕过Next.js中间件的授权检查，获取未授权访问权限。公告强调："当授权验证仅依赖中间件时，攻击者可突破Next.js应用的权限控制。"  

对于无法立即升级的用户，维护团队建议通过拦截携带x-middleware-subrequest标头的外部请求作为临时解决方案。该漏洞由研究人员Allam Rachid（zhero）和Allam Yasser（inzo_）发现并提交技术细节。  

网络安全公司JFrog警告称，仅依赖中间件实施用户授权而未设置二次验证的网站存在被入侵风险。部署目录中包含middleware.ts或_middleware.ts文件的Next.js用户，以及使用特定npm包的项目均受影响。  

任何单纯依赖中间件实施用户授权且未设置额外验证机制的网站均存在漏洞。当部署目录中存在middleware.ts或_middleware.ts文件时（表明启用了中间件功能），Next.js用户可能面临风险...  

—— JFrog安全团队 (@JFrogSecurity) 2025年3月23日  

原文始发于微信公众号（黑猫安全）：攻击者可利用Next.js严重漏洞绕过中间件身份验证检查