Next.js 严重漏洞:攻击者可绕过中间件授权检查
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
Next.js 框架出现严重安全漏洞 CVE-2025-29927,CVSS 评分 9.1。攻击者可绕过授权检查,访问敏感页面。多个版本已修复,建议用户阻止含有 x-middleware-subrequest 标头的请求。
🎯
关键要点
- Next.js 框架出现严重安全漏洞 CVE-2025-29927,CVSS 评分 9.1。
- 攻击者可绕过授权检查,访问敏感页面。
- 漏洞利用内部标头 x-middleware-subrequest,可能导致请求绕过关键检查。
- 漏洞已在多个版本中修复,包括 12.3.5、13.5.9、14.2.25 和 15.2.3。
- 建议用户阻止含有 x-middleware-subrequest 标头的请求。
- 安全研究员 Rachid Allam 报告了漏洞的技术细节,强调尽快应用修复的紧迫性。
- JFrog 公司指出,漏洞可能导致攻击者访问仅限管理员的敏感网页。
- 任何依赖中间件进行用户授权且未实施额外授权检查的网站都可能受到影响。
➡️
