Eine kritische Verwundbarkeit im nächsten. Verfolgt als CVE-2025-29927Mit dem Fehler können Angreifer Anfragen direkt an Zielpfade senden und wichtige Sicherheitsprotokolle überspringen.
NEXT.JS, ein weit verbreitetes React-Rahmen mit über 9 Millionen wöchentlich NPM -Downloadswird von Entwicklern für den Bau von Webanwendungen in Vollstapel bevorzugt. Unternehmen wie Tiktok, Twitch, Hulu, Netflix, Uber und Nike verwenden das Framework für ihre Websites und Apps.
Middleware -Komponenten in Next.js erledigen Aufgaben wie Authentifizierung, Autorisierung, Protokollierung und Umleitung von Benutzern, bevor eine Anforderung das Anwendungsrouting -System erreicht. Um unendliche Schleifen zu vermeiden, verwendet Next.js einen Header „X-Middleware-Subrequest“, der feststellt, ob Middleware-Funktionen angewendet werden sollen.
Die Funktion „Runmiddleware“ überprüft diesen Header. Wenn es mit einem bestimmten Wert erkannt wird, umgeht es die gesamte Middleware -Ausführung und leitet die Anforderung direkt an das Ziel weiter. Ein Angreifer kann dies ausnutzen, indem er eine Anfrage mit dem richtigen Header -Wert manuell sendet.
Forscher Allam Rachid und Allam Yasser (Inzo_), der das identifizierte Verwundbarkeitstellte fest, dass „der Header und sein Wert als universeller Schlüssel wirken, der es zulässt, dass Regeln überschrieben werden.“
Das Sicherheitsproblem betrifft alle Next.js -Versionen vor dem 15.2.3, 14.2.25, 13.5.9 und 12.3.5. Benutzer sollten sofort aktualisieren, da technische Details zur Nutzung der Verwundbarkeit jetzt öffentlich sind.
Next.js ‚Sicherheitsbulletin an Dass CVE-2025-29927 nur selbst gehostete Versionen mit ‚Next Start‘ mit ‚Output: Standalone‘ beeinflusst. Apps, die auf Vercel und Netlify gehostet werden oder die als statischen Exporte eingesetzt werden, sind nicht betroffen.
Umgebungen, in denen Middleware für Autorisierungs- oder Sicherheitsüberprüfungen ohne nachfolgende Validierung in der Anwendung verwendet wird, ist gefährdet.
Wenn das Patching nicht sofort möglich ist, besteht die vorgeschlagene Vorgehensweise darin, externe Benutzeranforderungen zu blockieren, die den Header „X-Middleware-Subrequest“ enthalten.
