通告编号:NS-2025-0015-1
| TAG: |
Next.js、权限绕过、CVE-2025-29927 |
| 漏洞危害: |
攻击者利用此漏洞,可实现权限绕过。 |
| 版本: | 1.0 |
漏洞概述
近日,绿盟科技CERT监测到Next.js发布安全公告,修复了Next.js中间件权限绕过漏洞(CVE-2025-29927);由于Next.js对x-middleware-subrequest标头的来源缺乏有效校验,当配置使用中间件进行身份验证和授权时,未经身份验证的攻击者可通过操作x-middleware-subrequest请求头绕过系统权限控制,从而访问目标的受保护资源。目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
Next.js是Node.js生态中基于React的开源Web框架,其通过Server Actions功能提供了后端开发能力。
绿盟科技已成功复现此漏洞:
参考链接:
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
SEE MORE →
2影响范围
受影响版本:
-
11.1.4 <= Next.js <= 13.5.6
-
14.0.0 <= Next.js <= 14.2.24
-
15.0.0 <= Next.js <= 15.2.2
不受影响版本:
-
Next.js = 12.3.5
-
Next.js >= 13.5.9
-
Next.js >= 14.2.25
-
Next.js >= 15.2.3
3漏洞检测
3.1 工具检测
绿盟科技自动化渗透测试工具(EZ)企业版已支持Next.js的服务识别和CVE-2025-29927漏洞风险检测,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)
工具下载链接:https://github.com/m-sec-org/EZ/releases
新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:
注:社区版本将于近期发布上述功能
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)、综合威胁探针(UTS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
|
升级包版本号 |
升级包下载链接 |
|
|
RSAS V6 Web插件包 |
V6.0R02F00.3706 |
https://update.nsfocus.com/update/listRsasDetail/v/vulweb |
|
WVSS V6插件升级包 |
V6.0R03F00.349 |
https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg |
|
IDS |
5.6.10.39379 |
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10 |
|
5.6.11.39379 |
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11 |
|
|
2.0.0.39379 |
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2 |
|
|
UTS |
2.0.0.39379 |
https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1 |
|
5.6.10.39379 |
https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 |
|
|
6.0.7.3.70724 |
https://update.nsfocus.com/update/listBsaUtsDetail/v/wcl2.0.0 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q
4暴露面风险排查
4.1 云端检测
绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-29927漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。
4.2 本地排查
绿盟科技CTEM解决方案可以支持主动进行Next.js相关资产和CVE-2025-29927漏洞风险的发现和排查:
用户使用外部攻击面发现功能将CVE-2025-29927漏洞线索同步至云端,通过资产测绘的方式获取目标单位的受影响资产。
通过指纹识别或PoC扫描进行测绘:
支持调用各类漏洞扫描设备:
5漏洞防护
5.1 官方升级
目前官方已发布新版本修复此漏洞,请受影响的用户尽快升级防护,下载链接:https://github.com/vercel/next.js/releases
5.2 产品防护
针对上述漏洞,绿盟科技Web应用防护系统(WAF)与网络入侵防护系统(IPS)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护与监测能力。安全防护产品规则编号如下:
|
安全防护产品 |
升级包版本号 |
升级包下载链接 |
规则编号 |
|
WAF |
6.0.7.0.70724 |
https://update.nsfocus.com/update/listWafSpecialDetail/v/all |
27005981 |
|
6.0.7.3.70724 |
https://update.nsfocus.com/update/listWafV67Detail/v/rule6070 |
||
|
6.0.8.1.70724 |
https://update.nsfocus.com/update/listWafV68Detail/v/rule |
||
|
IPS |
5.6.10.39379 |
https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 |
[28755] |
|
5.6.11.39379 |
https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 |
||
|
2.0.0.39379 |
https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2 |
产品规则升级的操作步骤详见如下链接:
WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog
IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg
5.3 临时防护措施
若相关用户暂时无法进行升级操作,也可通过拦截包含x-middleware-subrequest标头的请求进行临时缓解。
END
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(绿盟科技CERT):【处置手册】Next.js中间件权限绕过漏洞(CVE-2025-29927)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论