一、漏洞概述
漏洞名稱 | Next.js 中間件授權繞過漏洞 |
CVE ID | CVE-2025-29927 |
漏洞類型 | 授權繞過漏洞 | 發現時間 | 2025-03-24 |
漏洞評分 | 9.1 | 漏洞等級 | 嚴重 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 無 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
Next.js是一個基于React的開源框架,用于構建現代web應用程序。它提供了服務器端渲染(SSR)、靜態生成(SSG)、API路由等功能,支持快速構建高性能的全棧應用。Next.js提供了開發和生產環境的優化,易于部署,廣泛應用于企業級應用和內容驅動的網站。
2025年3月24日,啟明星辰集團VSRC監測到國外安全研究員在zhero-web-sec發布的文章中指出,Next.js 14.2.25及15.2.3之前的版本存在一個嚴重的中間件授權繞過漏洞。攻擊者可以通過在請求中添加x-middleware-subrequest頭部,繞過中間件的授權和認證檢查,進而訪問受保護的資源或繞過安全控制。該漏洞可能導致信息泄露、惡意數據訪問等安全風險。該漏洞的CVSS評分為9.1,漏洞級別嚴重。
二、影響范圍
11.1.4 <= next.js <= 13.5.614.0 <= next.js < 14.2.25
三、安全措施
3.1 升級版本
下載鏈接:https://github.com/vercel/next.js/releases/
3.2 臨時措施
如果無法立即升級,建議通過阻止包含x-middleware-subrequest頭部的外部請求來減少風險。這可以通過配置Web服務器或使用防火墻規則來實現。
3.3 通用建議
? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。? 加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。? 加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
3.4 參考鏈接
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffwhttps://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middlewarehttps://nvd.nist.gov/vuln/detail/CVE-2025-29927