Next.js Middleware 认证绕过漏洞(CVE-2025-29927)
日期:2025-03-25 10:12:42 发布人:信息化建设中心 浏览量:1
一、漏洞概要
漏洞名称 | Next.js Middleware 认证绕过漏洞(CVE-2025-29927) |
发布时间 | 2025年3月24日 |
组件名称 | Next.js |
影响范围 | 11.1.4 < Next.js ≤ 13.5.6 14.0 < Next.js < 14.2.25 15.0 < Next.js < 15.2.3 |
漏洞类型 | 绕过认证 |
利用条件 | 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 |
综合评价 | <综合评定利用难度>:容易,能造成认证绕过。 <综合评定威胁等级>:高危,能导致未授权操作。 |
官方解决方案 | 已发布 |
二、漏洞分析
2.1 组件介绍
Next.js 是一个基于 React 的开源框架,旨在为开发者提供构建高性能、可扩展的 Web 应用程序的工具。
2.2 漏洞描述
2025年3月24日,深瞳漏洞实验室监测到一则NextJS组件存在绕过认证漏洞的信息,漏洞编号:CVE-2025-29927,漏洞威胁等级:高危。
Next.js 的middleware存在一个认证绕过漏洞,如果授权检查发生在middleware中,则可以在Next.js应用程序中绕过授权检查,导致数据泄露、未经授权的操作和服务中断。
三、影响范围
目前受影响的NextJS版本:
11.1.4 < Next.js ≤ 13.5.6
14.0 < Next.js < 14.2.25
15.0 < Next.js < 15.2.3
修复建议
1、临时修复建议
阻止包含 x-middleware-subrequest 标头的外部用户请求到达 Next.js 应用程序。
2、官方修复建议
官方已发布最新版本修复该漏洞,建议受影响用户将NextJs更新到以下版本:
Next.js 14.2.25
Next.js 15.2.3