Hjem > Cyber ​​Nyheder > CVE-2025-29927: Kritisk Next.js Flaw muliggør omgåelse af autorisation
CYBER NEWS

CVE-2025-29927: Kritisk Next.js Flaw muliggør omgåelse af autorisation

ved   |  Last Update:  |  0 Kommentarer  

En nyligt afsløret sårbarhed i Next.js React framework er blevet tildelt en CVSS-score på 9.1, markerer det som en kritisk sikkerhedsrisiko. Spores som CVE-2025-29927, fejlen kan udnyttes under specifikke forhold til omgå middleware-baserede godkendelsestjek, potentielt tillader uautoriseret adgang til privilegerede ressourcer.

Problemet stammer fra, hvordan Next.js håndterer x-middleware-subrequest header, som bruges internt til at forhindre uendelige anmodningsløkker. Hvis det manipuleres, denne header kan bruges til springe udførelse af middleware over, lader angribere omgå cookie-baserede autorisationskontrol, før de når følsomme ruter.

CVE-2025-29927: Kritisk Next.js Flaw muliggør omgåelse af autorisation

Sikkerhed forsker Rachid Allam (også kendt som zhero og kold prøve), der opdagede fejlen, har offentliggjort tekniske detaljer, hvilket gør det afgørende for udviklere at handle hurtigt.

Patch til CVE-2025-29927 tilgængelig for flere versioner

Next.js-teamet har behandlet sårbarheden i følgende versioner:

  • 12.3.5
  • 13.5.9
  • 14.2.25
  • 15.2.3




Brugere, der ikke umiddelbart kan opdatere, rådes til at >blokere eventuelle eksterne anmodninger, der indeholder x-middleware-subrequest header fra at nå deres applikationer for at reducere eksponeringen.

Risiko for Middleware-Only-autorisation

Ifølge JFrog, enhver applikation, der udelukkende er afhængig af middleware til brugerautorisation uden lagdelte sikkerhedsforanstaltninger, er sårbare. Angribere kan udnytte denne fejl til at få adgang til sider, der er reserveret til administratorer eller brugere med forhøjede rettigheder - hvilket gør det til et alvorligt problem for webapplikationer, der håndterer følsomme data.

I lyset af den detaljerede offentliggørelse og aktive interesse i denne sårbarhed, Udviklere opfordres til at anvende de nyeste patches eller vedtage afbødende strategier så hurtigt som muligt.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Relaterede indlæg:
  1. Ubuntu Lokal Autorisation Bypass Bug Sandsynligt til Aldrig være Fast? It was just reported that a bug filed on Ubuntu...
  2. CVE-2025-21415: Kritisk fejl i Azure AI Face Service Microsoft has addressed two critical security vulnerabilities that posed potential...
  3. CVE-2021-44757: Authentication Bypass Flaw i Zoho Desktop Central An authentication bypass vulnerability was recently identified and patched in...
  4. CVE-2022-31656: Kritisk VMware Authentication Bypass sårbarhed VMware har for nylig udgivet endnu et sæt patches, der adresserer et nummer...
  5. CVE-2022-2884: Kritisk GitLab-sårbarhed muliggør fjernudførelse af kode GitLab afslørede en kritisk sårbarhed for filialer 15.1, 15.2, og...
  6. HTTP/2-fejl sætter webservere i fare for DoS-angreb [CVE-2024-27983] A new research conducted by security expert Bartek Nowotarski has...
  7. Google Workspace Design Flaw muliggør hackeradgang til API'er En kritisk designfejl i Google Workspaces domænedækkende delegering (DWD)...
  8. CVE-2021-35394 i Realtek Jungle SDK muliggør angreb mod IoT-enheder CVE-2021-35394 er en kritisk, remote code execution security vulnerability that...

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig