一、背景介绍
近日,监测到更新修复Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)。
1.1漏洞描述
Next.js是一个基于React的流行Web应用框架,提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时,Next.js14.2.25和15.2.3之前的版本存在授权绕过漏洞。该漏洞允许攻击者通过操作x-middleware-subrequest请求头来绕过基于中间件的安全控制,从而可能获得对受保护资源和敏感数据的未授权访问。
1.2漏洞编号
CVE-2025-29927
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
15.* <= Next.js <15.2.3
14.* <= Next.js <14.2.25
11.1.4 <= Next.js <= 13.5.6
2.2修复建议
下载地址:https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw