【漏洞通告】Next.js 中間件授權繞過漏洞(CVE-2025-29927)

發布時間 2025-03-24

一、漏洞概述


漏洞名稱

Next.js 中間件授權繞過漏洞

CVE   ID

CVE-2025-29927

漏洞類型

授權繞過漏洞

發現時間

2025-03-24

漏洞評分

9.1

漏洞等級

嚴重

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

已公開

在野利用

未發現


Next.js是一個基于React的開源框架,用于構建現代web應用程序。它提供了服務器端渲染(SSR)、靜態生成(SSG)、API路由等功能,支持快速構建高性能的全棧應用。Next.js提供了開發和生產環境的優化,易于部署,廣泛應用于企業級應用和內容驅動的網站。


2025年3月24日,啟明星辰集團VSRC監測到國外安全研究員在zhero-web-sec發布的文章中指出,Next.js 14.2.25及15.2.3之前的版本存在一個嚴重的中間件授權繞過漏洞。攻擊者可以通過在請求中添加x-middleware-subrequest頭部,繞過中間件的授權和認證檢查,進而訪問受保護的資源或繞過安全控制。該漏洞可能導致信息泄露、惡意數據訪問等安全風險。該漏洞的CVSS評分為9.1,漏洞級別嚴重。


二、影響范圍


11.1.4 <= next.js <= 13.5.6
14.0 <= next.js < 14.2.25
15.0 <= next.js<15.2.3


三、安全措施


3.1 升級版本


官方已發布修復版本,建議受影響用戶盡快更新。


下載鏈接:https://github.com/vercel/next.js/releases/


3.2 臨時措施


如果無法立即升級,建議通過阻止包含x-middleware-subrequest頭部的外部請求來減少風險。這可以通過配置Web服務器或使用防火墻規則來實現。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
? 加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
? 使用企業級安全產品,提升企業的網絡安全性能。
? 加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
? 啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
https://nvd.nist.gov/vuln/detail/CVE-2025-29927