漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
1、漏洞概述
近日,vercel发布更新修复Next.js中间件鉴权绕过漏洞(CVE-2025-29927),建议您及时开展安全风险自查。
据描述,由于 next.js应用程序使用中间件时,其函数调用 runMiddleware 会识别x-middle-subrequest请求头,用以识别是否应用了中间件,如果其值是中间所在路径,则可以完全绕过鉴权。攻击者可以利用该漏洞获取服务器敏感信息。如果站点具有缓存/CDN 系统,则可能会强制缓存 404 响应,从而使其页面不可用,严重影响其可用性 。
漏洞影响的产品和版本:
11.1.4 <= next.js <= 13.5.6
14.0.0 <= next.js <= 14.2.24
15.0.0 <= next.js <= 15.2.2
2、漏洞复现
3、资产测绘
据daydaymap数据显示互联网存在2,864,117个资产,国内风险资产分布情况如下:
4、解决方案
临时缓解方案:
部署针对项目的监控系统:阻止包含 x-middleware-subrequest 标头的外部用户请求到达您的 Next.js 应用程序。
升级修复:
目前官方已发布修复安全补丁
https://github.com/vercel/next.js/releases/tag/v15.2.3
https://github.com/vercel/next.js/releases/tag/v14.2.25
5、参考链接
https://github.com/advisories/GHSA-f82v-jwr5-mffw
https://www.ddpoc.com/DVB-2023-9004.html
