Next.js中间件权限绕过漏洞 (CVE-2025-29927)
💡
原文中文,约3100字,阅读约需8分钟。
📝
内容提要
绿盟科技发布公告,修复Next.js中的CVE-2025-29927权限漏洞,攻击者可绕过权限控制访问受保护资源。用户应尽快升级到最新版本以防护此漏洞,并可使用绿盟工具进行检测和扫描。
🎯
关键要点
- 绿盟科技发布公告,修复Next.js中的CVE-2025-29927权限漏洞。
- 攻击者可通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
- 用户应尽快升级到最新版本以防护此漏洞。
- 绿盟科技的自动化渗透测试工具已支持Next.js的漏洞风险检测。
- 绿盟科技的远程安全评估系统和其他安全产品已具备针对该漏洞的扫描能力。
- 绿盟科技提供了漏洞风险的互联网资产排查服务。
- 用户可通过拦截包含x-middleware-subrequest标头的请求进行临时缓解。
- 本安全公告不提供任何保证,用户需自行承担因使用信息而导致的后果。
❓
延伸问答
CVE-2025-29927漏洞是什么?
CVE-2025-29927是Next.js中的一个权限绕过漏洞,攻击者可以通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
如何防护CVE-2025-29927漏洞?
用户应尽快升级到Next.js的最新版本以防护此漏洞,此外可以临时拦截包含x-middleware-subrequest标头的请求。
绿盟科技提供了哪些工具来检测此漏洞?
绿盟科技的自动化渗透测试工具和远程安全评估系统已支持CVE-2025-29927漏洞的检测和扫描。
哪些版本的Next.js受到CVE-2025-29927漏洞影响?
受影响的版本包括1.4到13.5.6、0.0到14.2.24和0.0到15.2.2等多个版本。
如果无法立即升级,用户可以采取什么临时措施?
用户可以通过拦截包含x-middleware-subrequest标头的请求来进行临时缓解。
绿盟科技对CVE-2025-29927漏洞的公告有什么免责声明?
绿盟科技的公告不提供任何保证,用户需自行承担因使用信息而导致的后果。
➡️
