DEV Community
·
Next.js 中间件绕过漏洞(CVE-2025-29927)影响流行的 AI 应用程序
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Next.js 存在认证绕过漏洞(CVE-2025-29927),攻击者可通过伪造请求头 x-middleware-subrequest 绕过中间件安全机制,导致未授权访问。受影响用户应立即升级至修复版本 14.2.25 或 15.2.3。
🎯
关键要点
- Next.js 存在认证绕过漏洞(CVE-2025-29927),攻击者可通过伪造请求头 x-middleware-subrequest 绕过中间件安全机制。
- 该漏洞允许攻击者未授权访问受保护资源,如管理面板和用户信息 API。
- Next.js 不严格验证 x-middleware-subrequest 请求头的来源,导致安全机制失效。
- 受影响的用户应立即升级至修复版本 14.2.25 或 15.2.3。
- 如果无法立即升级,建议移除恶意请求头或使用安全设备过滤该请求头。
- 漏洞的影响等级为高,且不需要用户交互即可触发。
❓
延伸问答
CVE-2025-29927漏洞的主要影响是什么?
该漏洞允许攻击者未授权访问受保护资源,如管理面板和用户信息API。
如何修复Next.js中的CVE-2025-29927漏洞?
受影响用户应立即升级至修复版本14.2.25或15.2.3。
CVE-2025-29927漏洞是如何被利用的?
攻击者通过伪造请求头x-middleware-subrequest,绕过中间件安全机制。
如果无法立即升级Next.js,应该采取什么临时措施?
可以移除恶意请求头或使用安全设备过滤该请求头。
Next.js中x-middleware-subrequest请求头的作用是什么?
该请求头用于标记递归中间件请求,但可被攻击者伪造。
CVE-2025-29927漏洞的严重性如何?
该漏洞的影响等级为高,且不需要用户交互即可触发。
➡️
