7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)的风险提示

日期:2025-03-25文章来源:图书信息中心

一、背景介绍

近日,监测到更新修复Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)。

1.1漏洞描述

Next.js是一个基于React的流行Web应用框架,提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时,Next.js14.2.25和15.2.3之前的版本存在授权绕过漏洞。该漏洞允许攻击者通过操作x-middleware-subrequest请求头来绕过基于中间件的安全控制,从而可能获得对受保护资源和敏感数据的未授权访问。

1.2漏洞编号

CVE-2025-29927

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

15.* <= Next.js <15.2.3

14.* <= Next.js <14.2.25

11.1.4 <= Next.js <= 13.5.6

2.2修复建议

下载地址:https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw