DEV Community
·
CVE-2025-29927 在 Next.js 中的授权绕过漏洞
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
CVE-2025-29927是Next.js中的一个严重授权绕过漏洞,影响多个版本。开发者应及时升级到最新版本以降低安全风险。Vercel和Netlify平台不受影响。
🎯
关键要点
-
CVE-2025-29927是Next.js中的一个严重授权绕过漏洞,影响多个版本。
-
受影响的Next.js版本包括:15.x版本在15.2.3之前,14.x版本在14.2.25之前,13.x版本在13.5.9之前。
-
开发者应及时升级到最新版本以降低安全风险。
-
Vercel和Netlify平台不受此漏洞影响。
-
Next.js中间件的概念借鉴自Express框架,用于处理HTTP请求的行为。
-
安全研究人员发现,外部客户端可以通过特定HTTP头绕过Next.js的中间件逻辑。
-
开发者可以使用Snyk Open Source检测依赖漏洞,并获得升级路径。
-
如果使用的Next.js版本在11.1.4到13.5.6之间,或自托管的版本在14.x < 14.2.25或15.x < 15.2.3,则可能受到影响。
-
修复建议包括升级到最新的Next.js版本或应用防火墙规则以阻止特定HTTP请求。
❓
延伸问答
CVE-2025-29927是什么漏洞?
CVE-2025-29927是Next.js中的一个严重授权绕过漏洞,影响多个版本。
哪些Next.js版本受到CVE-2025-29927的影响?
受影响的版本包括15.x版本在15.2.3之前,14.x版本在14.2.25之前,13.x版本在13.5.9之前。
开发者应该如何应对CVE-2025-29927漏洞?
开发者应及时升级到最新版本的Next.js以降低安全风险,或应用防火墙规则阻止特定HTTP请求。
Vercel和Netlify平台是否受到CVE-2025-29927的影响?
Vercel和Netlify平台不受此漏洞影响。
如何检测我的Next.js项目是否受到CVE-2025-29927的影响?
可以使用Snyk Open Source检测依赖漏洞,并获得升级路径。
CVE-2025-29927漏洞是如何被发现的?
安全研究人员发现外部客户端可以通过特定HTTP头绕过Next.js的中间件逻辑。
➡️
