Eine neu aufgedeckte Sicherheitslücke in der Next.js React-Framework wurde ein CVSS-Score von 9.1, Markieren Sie es als kritisches Sicherheitsrisiko. Verfolgt als CVE-2025-29927, Der Fehler kann unter bestimmten Bedingungen ausgenutzt werden, um Umgehen von Middleware-basierten Autorisierungsprüfungen, potenziell unbefugten Zugriff auf privilegierte Ressourcen ermöglichen.
Das Problem liegt darin, wie Next.js mit dem x-middleware-subrequest Header, Dies wird intern verwendet, um unendliche Anfrageschleifen zu verhindern. Bei Manipulation, Dieser Header kann verwendet werden, um Middleware-Ausführung überspringen, Angreifer können Cookie-basierte Autorisierungsprüfungen umgehen, bevor sie sensible Routen erreichen.
Der Sicherheitsforscher Rachid Allam (alias Zhero und Kaltversuch), der den Fehler entdeckte, hat technische Details veröffentlicht, Daher ist es für Entwickler von entscheidender Bedeutung, schnell zu handeln.
Patch für CVE-2025-29927 für mehrere Versionen verfügbar
Das Next.js-Team hat die Sicherheitslücke in den folgenden Versionen behoben:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
Benutzern, die nicht sofort aktualisieren können, wird empfohlen, alle externen Anfragen zu blockieren, die Folgendes enthalten: x-middleware-subrequest Header davon abhalten, ihre Anwendungen zu erreichen, um die Gefährdung zu verringern.
Risiko einer ausschließlich auf Middleware basierenden Autorisierung
Nach JFrog, Jede Anwendung, die sich ausschließlich auf Middleware zur Benutzerautorisierung ohne mehrschichtige Sicherheitsmaßnahmen verlässt, ist anfällig. Angreifer können diese Schwachstelle ausnutzen, um Zugriff auf Seiten zu erhalten, die Administratoren oder Benutzern mit erhöhten Rechten vorbehalten sind. Dies stellt ein ernstes Problem für Webanwendungen dar, die mit sensiblen Daten umgehen..
Angesichts der detaillierten Offenlegung und des aktiven Interesses an dieser Sicherheitslücke, Entwickler werden dringend gebeten, die neuesten Patches so schnell wie möglich anzuwenden oder Strategien zur Risikominderung zu entwickeln..
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: