Een onlangs onthulde kwetsbaarheid in de Next.js React-framework is toegewezen aan een CVSS-score van 9.1, het markeren als een kritisch veiligheidsrisico. Bijgehouden als CVE-2025-29927, het gebrek kan onder specifieke omstandigheden worden uitgebuit om omzeil middleware-gebaseerde autorisatiecontroles, waardoor mogelijk ongeautoriseerde toegang tot bevoorrechte bronnen mogelijk wordt.
Het probleem komt voort uit de manier waarop Next.js omgaat met de x-middleware-subrequest hoofd, die intern wordt gebruikt om oneindige aanvraaglussen te voorkomen. Als gemanipuleerd, Deze header kan worden gebruikt om middleware-uitvoering overslaan, aanvallers de op cookies gebaseerde autorisatiecontroles laten omzeilen voordat ze gevoelige routes bereiken.
security-onderzoeker Rachid Allam (ook gekend als zero en koud proberen), wie ontdekte het gebrek, heeft technische details gepubliceerd, waardoor het voor ontwikkelaars cruciaal is om snel te handelen.
Patch voor CVE-2025-29927 beschikbaar voor meerdere versies
Het Next.js-team heeft de kwetsbaarheid in de volgende versies aangepakt:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
Gebruikers die niet direct kunnen updaten, wordt aangeraden om alle externe verzoeken te blokkeren die de volgende inhoud bevatten: x-middleware-subrequest header om hun applicaties te bereiken om blootstelling te verminderen.
Risico voor autorisatie alleen via middleware
Volgens JKikker, elke applicatie die uitsluitend op middleware vertrouwt voor gebruikersautorisatie zonder gelaagde beveiligingsmaatregelen is kwetsbaar. Aanvallers kunnen deze fout misbruiken om toegang te krijgen tot pagina's die zijn gereserveerd voor beheerders of gebruikers met verhoogde rechten. Dit kan een ernstig probleem vormen voor webapplicaties die gevoelige gegevens verwerken..
Gezien de gedetailleerde openbaarmaking en de actieve interesse in deze kwetsbaarheid, ontwikkelaars worden dringend verzocht zo snel mogelijk de nieuwste patches toe te passen of mitigatiestrategieën te implementeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: