Next.js 中间件曝高危漏洞 CVE-2025-29927,授权绕过风险波及全版本


研究人员在 Next.js 框架的中间件实现中发现严重安全漏洞(CVE-2025-29927),攻击者通过伪造 x-middleware-subrequest 请求头可绕过身份验证与路由保护机制。该漏洞影响 11.1.4 至 15.2.3 之前的所有版本,覆盖超过 82% 的生产环境部署(依据 Next.js 官方统计面板)。

漏洞原理
当中间件检测到 x-middleware-subrequest 头时会跳过授权逻辑,攻击者可通过构造特定格式的请求头(如 pages/_middlewaremiddleware: 重复序列)触发该机制。该缺陷使得路由重写、JWT 校验等安全措施完全失效。

影响范围

  • 11.1.4 ≤ Next.js < 12.2.0
  • 12.2.0 ≤ Next.js < 14.2.25
  • 15.0.0 ≤ Next.js < 15.2.3

修复方案

  1. 立即升级至安全版本:
    • Next.js 15.x → ≥15.2.3 (更新日志)
    • Next.js 14.x → ≥14.2.25 (更新日志)
  2. 临时缓解措施:在 CDN/反向代理层过滤 x-middleware-subrequest 头(需注意 Nginx 配置需包含 proxy_set_header X-Middleware-Subrequest "";

开发者可通过运行 npx next-info@latest 快速检测项目风险状态。Vercel 已为托管项目自动部署热补丁,私有部署用户需手动处理。漏洞技术细节


相關推薦

2025-03-25

为开发者技术选型提供了重要参考。 事件导火索:Next.js高危漏洞处置争议 事件始于Next.js框架曝出的高危身份验证绕过漏洞(CVE-2025-29927),该漏洞允许攻击者无需凭证即可访问受保护路由。 作为Next.js的主要维护者,Vercel

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2023-09-13

多元共进|2023 Google 开发者大会精彩演讲回顾 项目介绍 一款免费的数据可视化报表,含报表和大屏设计,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等! Web 版报表设计器,类

2021-12-16

架,并引入了大量丰富的特性。该日志框架被广泛地用于中间件、开发框架与Web应用中,用来记录日志信息。 由于组件存在 Java JNDI 注入漏洞,当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4

2023-02-25

97%;制造业和机器人技术领域增长了 74%。 过去五年的高危漏洞也以惊人的速度增长: 自 2019 年以来,OSSRA 中所有 17 个行业的高危漏洞至少增加了 42%。其中,零售和电子商务领域的高危漏洞激增了 557%。相比之下,物联网

2021-12-24

含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流

2022-04-19

p7zip。 近日,研究人员 Kağan Çapar 在 7-Zip 中发现了一个漏洞,该漏洞可能导致黑客被赋予更高的权限以及执行任意指令。该漏洞的 CVE ID 为 CVE-2022-29072,漏洞影响 7-Zip 所有版本,其中也包括目前最新的 21.07 版本。 要想触发该

2023-08-11

全漏洞。 CVE-2023-32002:可以通过 Module._load 绕过策略(高危) CVE-2023-32006:可以通过 module.constructor.createRequire 绕过策略(中等) CVE-2023-32559:可以通过 process.binding 绕过策略(中等) 下载地址

2024-04-02

使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。 统信UOS操作系统受影响情况分析: 统信UOS桌面操作系统1060版本上xz-utils的版本为5.2.4.1-1+dde,不在漏洞影响范围内,

2022-08-27

人员提供改进的体验。Netlify 提供了唯一支持 Next.js 高级中间件的运行时环境,让开发人员可以控制在边缘重写和转换 HTML 内容 —— 无需额外的客户端 JavaScript 或复杂的服务器渲染策略。” 公告称,以前使用 Next.js 构建动态个

2024-04-09

使用,因此此安全漏洞的影响面较广。 漏洞危害等级:高危。 漏洞影响范围:5.6.0<=xz-utils<=5.6.1。   deepin(深度)操作系统受影响情况分析 deepin V23 上 xz-utils 的版本为 5.4.5,不在漏洞影响范围内,不受该漏

2022-11-03

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用

2022-08-15

他应用软件所使用的底层框架存在 RCE(远程代码执行)漏洞。 上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack,和其他许多应用的

2022-12-24

next/image、next/font、改进内存使用、改进的 CSS 模块支持 中间件的改进:可以从中间件返回响应,并在请求中设置 headers 在 Next.js 中添加了一个新的 SWC 转换,名为 modularizeImports ,这个新设置启用 SWC 转换,它根据定义的模式