一、背景介绍

近日，监测到更新修复Next.js Middleware鉴权绕过漏洞（CVE-2025-29927）。

1.1漏洞描述

Next.js是一个基于React的流行Web应用框架，提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时，Next.js14.2.25和15.2.3之前的版本存在授权绕过漏洞。该漏洞允许攻击者通过操作x-middleware-subrequest请求头来绕过基于中间件的安全控制，从而可能获得对受保护资源和敏感数据的未授权访问。

1.2漏洞编号

CVE-2025-29927

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

15.* <= Next.js <15.2.3

14.* <= Next.js <14.2.25

11.1.4 <= Next.js <= 13.5.6

2.2修复建议

下载地址：https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw