Krytyczna podatność w poszukiwaniu stron internetowych. JS może pozwolić hakerom ominąć kontrole autoryzacji. Śledzone jako CVE-2025-29927wada pozwala atakującym wysyłać żądania bezpośrednio do ścieżek docelowych, pomijając kluczowe protokoły bezpieczeństwa.
Next.js, powszechnie używane ramy React z ponad 9 milionami tygodnia Pobieranie NPMjest faworyzowany przez programistów do konstruowania pełnego zastosowania aplikacji internetowych. Firmy takie jak Tiktok, Twitch, Hulu, Netflix, Uber i Nike używają ram dla swoich witryn i aplikacji.
Komponenty oprogramowania pośredniego w Next.js obsługują zadania, takie jak uwierzytelnianie, autoryzacja, rejestrowanie i przekierowanie użytkowników, zanim żądanie dotrze do systemu routingu aplikacji. Aby uniknąć nieskończonych pętli, Next.js wykorzystuje nagłówek „X-Middleware-Subrequest”, który określa, czy należy zastosować funkcje oprogramowania pośredniego.
Funkcja „Runmiddleware” sprawdza ten nagłówek. Jeśli zostanie wykryty o określonej wartości, omija całe wykonanie oprogramowania pośredniego, przekazując żądanie bezpośrednio do miejsca docelowego. Atakujący może to wykorzystać, ręcznie wysyłając żądanie o właściwej wartości nagłówka.
Badacze Allam Rachid i Allam Yasser (Inzo_), który zidentyfikował wrażliwośćstwierdził, że „nagłówek i jego wartość działają jako uniwersalny klucz, umożliwiający zastąpienie reguł”.
Kwestia bezpieczeństwa wpływa na wszystkie wersje Next.js przed 15.2.3, 14.2.25, 13.5.9 i 12.3.5. Użytkownicy powinni natychmiast zaktualizować, ponieważ szczegóły techniczne dotyczące wykorzystania podatności są teraz publiczne.
Biuletyn bezpieczeństwa Next.js Określa że CVE-2015-29927 wpływa tylko na wersje hostowane za pomocą „Next Start” z „wyjście: samodzielne”. Nie ma wpływu na aplikacje hostowane na Vercel i NetLify lub te wdrożone jako eksport statyczny.
Środowiska, w których oprogramowanie pośrednie jest wykorzystywane do autoryzacji lub kontroli bezpieczeństwa bez późniejszej walidacji w aplikacji, jest zagrożone.
Jeśli łatanie nie jest natychmiast wykonalne, sugerowanym kierunkiem działania jest zablokowanie wszelkich zewnętrznych żądań użytkownika, które zawierają nagłówek „X-Middleware-Subrequest”.
