下一个的关键漏洞。JSWeb开发框架可以让黑客绕过授权检查。跟踪为 CVE-2025-29927,该缺陷使攻击者可以直接发送请求到目标路径,跳过关键的安全协议。
Next.js,一个广泛使用的反应框架,每周超过900万 NPM下载,开发人员对构建全堆栈Web应用程序的青睐受到青睐。 Tiktok,Twitch,Hulu,Netflix,Uber和Nike等公司都使用其网站和应用程序的框架。
Next.js中的中间件组件处理在请求到达应用程序路由系统之前,诸如身份验证,授权,记录和重定向用户之类的任务。为避免无限循环,Next.js采用“ X-Middle-subrequest”标头,该标头确定是否应应用中间件功能。
“ runmiddleware”功能检查此标头。如果用特定值检测到,它绕过整个中间件执行,将请求直接转发到其目的地。攻击者可以通过手动发送具有正确标头值的请求来利用这一点。
研究人员 阿拉姆·拉奇(Allam Rachid) 和Allam Yasser(Inzo_),他们确定了 脆弱性,指出:“标题及其价值作为通用钥匙,允许覆盖规则。”
安全问题影响了15.2.3、14.2.25、13.5.9和12.3.5之前的所有Next.js版本。用户应立即升级,因为利用该漏洞的技术细节现在是公开的。
Next.js的安全公告 指定 CVE-2025-29927仅使用“下一个启动”以“输出:独立”来影响自托的版本。在Vercel和Netlify上托管的应用程序或部署为静态出口的应用程序不受影响。
将中间件用于授权或安全检查的环境,而无需在应用程序中进行后续验证。
如果修补不可行,建议的行动是阻止任何外部用户请求,其中包括“ X-Middleware-Subrequest”标题。
