Casa > Cyber ​​Notizie > CVE-2025-29927: Difetto critico di Next.js consente l'aggiramento dell'autorizzazione
CYBER NEWS

CVE-2025-29927: Difetto critico di Next.js consente l'aggiramento dell'autorizzazione

da   |  Ultimo aggiornamento:  |  0 Commenti  

Una vulnerabilità recentemente divulgata nel Framework React Next.js è stato assegnato un Punteggio CVSS di 9.1, contrassegnandolo come un rischio critico per la sicurezza. Monitorato come CVE-2025-29927, il difetto può essere sfruttato in condizioni specifiche per bypassare i controlli di autorizzazione basati su middleware, consentendo potenzialmente l'accesso non autorizzato a risorse privilegiate.

Il problema deriva dal modo in cui Next.js gestisce il x-middleware-subrequest intestazione, che viene utilizzato internamente per prevenire loop di richiesta infiniti. Se manipolato, questa intestazione può essere utilizzata per salta l'esecuzione del middleware, consentendo agli aggressori di aggirare i controlli di autorizzazione basati sui cookie prima di raggiungere percorsi sensibili.

CVE-2025-29927: Difetto critico di Next.js consente l'aggiramento dell'autorizzazione

Ricercatore di sicurezza Rachid Allam (noto anche come zhero e provare a freddo), chi ha scoperto il difetto, ha pubblicato i dettagli tecnici, rendendo fondamentale per gli sviluppatori agire rapidamente.

Patch per CVE-2025-29927 disponibile per più versioni

Il team di Next.js ha affrontato la vulnerabilità nelle seguenti versioni:

  • 12.3.5
  • 13.5.9
  • 14.2.25
  • 15.2.3




Si consiglia agli utenti che non possono effettuare l'aggiornamento immediato di >bloccare tutte le richieste esterne contenenti l' x-middleware-subrequest intestazione dal raggiungere le loro applicazioni per ridurre l'esposizione.

Rischio per l'autorizzazione middleware-only

Secondo Rana, qualsiasi applicazione che si basa esclusivamente sul middleware per l'autorizzazione dell'utente senza misure di sicurezza a più livelli è vulnerabile. Gli aggressori possono sfruttare questa falla per ottenere l'accesso alle pagine riservate agli amministratori o agli utenti con privilegi elevati, il che rappresenta un serio problema per le applicazioni web che gestiscono dati sensibili..

Alla luce della divulgazione dettagliata e dell'interesse attivo per questa vulnerabilità, si invitano gli sviluppatori ad applicare le patch più recenti o ad adottare strategie di mitigazione il prima possibile.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Ubuntu Local Autorizzazione Bypass Bug Probabilità di Mai essere fisso? It was just reported that a bug filed on Ubuntu...
  2. CVE-2025-21415: Difetto critico nel servizio Azure AI Face Microsoft has addressed two critical security vulnerabilities that posed potential...
  3. CVE-2021-44757: Errore di bypass dell'autenticazione in Zoho Desktop Central An authentication bypass vulnerability was recently identified and patched in...
  4. CVE-2022-31656: Vulnerabilità critica di bypass dell'autenticazione VMware VMware ha recentemente rilasciato un'altra serie di patch che affrontano un numero....
  5. CVE-2022-2884: Una vulnerabilità critica di GitLab consente l'esecuzione di codice in remoto GitLab ha rivelato una vulnerabilità critica per le filiali 15.1, 15.2, e...
  6. Il difetto HTTP/2 espone i server Web al rischio di attacchi DoS [CVE-2024-27983] A new research conducted by security expert Bartek Nowotarski has...
  7. Un difetto di progettazione di Google Workspace consente agli hacker l'accesso alle API Un difetto di progettazione critico nella delega a livello di dominio di Google Workspace (DWD)...
  8. CVE-2021-35394 in Realtek Jungle SDK abilita gli attacchi contro i dispositivi IoT CVE-2021-35394 è critico, remote code execution security vulnerability that...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo