一、漏洞概述
漏洞名称 | Next.js 中间件授权绕过漏洞 |
CVE ID | CVE-2025-29927 |
漏洞类型 | 授权绕过漏洞 | 发现时间 | 2025-03-24 |
漏洞评分 | 9.1 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 无 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Next.js是一个基于React的开源框架,用于构建现代web应用程序。它提供了服务器端渲染(SSR)、静态生成(SSG)、API路由等功能,支持快速构建高性能的全栈应用。Next.js提供了开发和生产环境的优化,易于部署,广泛应用于企业级应用和内容驱动的网站。
2025年3月24日,启明星辰集团VSRC监测到国外安全研究员在zhero-web-sec发布的文章中指出,Next.js 14.2.25及15.2.3之前的版本存在一个严重的中间件授权绕过漏洞。攻击者可以通过在请求中添加x-middleware-subrequest头部,绕过中间件的授权和认证检查,进而访问受保护的资源或绕过安全控制。该漏洞可能导致信息泄露、恶意数据访问等安全风险。该漏洞的CVSS评分为9.1,漏洞级别严重。
二、影响范围
11.1.4 <= next.js <= 13.5.614.0 <= next.js < 14.2.25
三、安全措施
3.1 升级版本
下载链接:https://github.com/vercel/next.js/releases/
3.2 临时措施
如果无法立即升级,建议通过阻止包含x-middleware-subrequest头部的外部请求来减少风险。这可以通过配置Web服务器或使用防火墙规则来实现。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffwhttps://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middlewarehttps://nvd.nist.gov/vuln/detail/CVE-2025-29927
京公网安备11010802024551号