新たに発見された脆弱性 Next.js React フレームワーク 割り当てられました CVSS スコア 9.1, それをマークする 重大なセキュリティリスク. として追跡 CVE-2025-29927, この欠陥は特定の条件下で悪用され、 ミドルウェアベースの認証チェックをバイパスする, 特権リソースへの不正アクセスを許可する可能性がある.
この問題は、Next.jsが x-middleware-subrequest ヘッダ, これは、無限のリクエストループを防ぐために内部的に使用されます。. 操作された場合, このヘッダーは ミドルウェアの実行をスキップする, 攻撃者が機密ルートに到達する前にCookieベースの認証チェックを回避できるようにする.
セキュリティ研究者 ラシッド・アラム (としても知られている ゼロ と コールドトライ), 欠陥を発見したのは誰か, 技術的な詳細を公開しました, 開発者が迅速に行動することが重要になる.
CVE-2025-29927 のパッチが複数のバージョンで利用可能に
Next.jsチームは以下のバージョンで脆弱性に対処しました。:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
すぐに更新できないユーザーは、 x-middleware-subrequest ヘッダーがアプリケーションに到達しないようにすることで露出を減らす.
ミドルウェアのみの認可のリスク
によると Jフロッグ, 階層化されたセキュリティ対策を施さずに、ユーザー認証をミドルウェアのみに依存しているアプリケーションは脆弱である。. 攻撃者はこの欠陥を悪用して、管理者または昇格された権限を持つユーザー用に予約されたページにアクセスできるため、機密データを扱うWebアプリケーションにとって深刻な懸念事項となります。.
この脆弱性に関する詳細な開示と積極的な関心を考慮して, 開発者は最新のパッチを適用するか、できるだけ早く緩和策を採用するよう求められている。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: