Next.js React 框架近日披露了一个严重的安全漏洞,攻击者可利用该漏洞绕过授权检查,未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927,其 CVSS 评分为 9.1(满分 10.0)。
Next.js 是一个全栈框架,通过帮助处理页面渲染、路由、性能优化和 SEO 优化等,使构建和发布 Web 应用变得更加容易。Next.js 基于 React 构建,React 是一个用于从独立、可重用的组件构建 Web 用户界面的 JavaScript 库,两者结合可快速构建生产就绪的全栈应用。
Next.js 使用自己的中间件来处理请求、保护路由、向响应添加安全标头,并处理用户身份验证和用户重定向(例如基于地理位置、会话/授权 cookie 等)。CVE-2025-29927 漏洞允许攻击者通过向目标应用程序发送带有特制_x-middleware-subrequest标头的请求来绕过中间件安全控制。
发现该漏洞的安全研究人员 Rachid Allam 和 Yasser Allam 解释道:“如果我们在请求中添加带有正确值的_x-middleware-subrequest标头,无论中间件的用途是什么,它都将被完全忽略,请求将通过NextResponse.next()转发,并在中间件没有任何影响的情况下完成其到达原始目的地的旅程。该标头及其值充当了允许覆盖规则的万能钥匙。”
他们私下向 Vercel 报告了该漏洞,Vercel 的开发人员于 2025 年 3 月 14 日推出了临时补丁,几天后开始发布 Next.js 框架各个分支的新修复版本。
Next.js 被包括 Twitch、Spotify、Binance、Hulu、TikTok、OpenAI 等在内的众多企业广泛使用。
根据 Next.js 维护者的说法,该漏洞影响使用中间件的自托管 Next.js 应用程序,尤其是那些仅依赖中间件进行身份验证或安全检查的应用程序。托管在 Vercel 和 Netlify 云平台上的应用程序不受影响,部署为静态导出的应用程序也不受影响(因为中间件未执行)。
该漏洞已在版本 12.3.5、13.5.9、14.2.25 和 15.2.3 中修复。如果无法立即升级,建议用户阻止包含x-middleware-subrequest标头的外部用户请求访问 Next.js 应用程序。
原文始发于微信公众号(FreeBuf):Next.js 严重漏洞:攻击者可绕过中间件授权检查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论