Next.js中间件权限绕过漏洞 (CVE-2025-29927)
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
绿盟科技监测到Next.js存在中间件权限绕过漏洞(CVE-2025-29927),攻击者可通过请求头绕过权限控制。受影响版本包括1.4至13.5.6、14.2.24及15.2.2。建议用户尽快升级或临时拦截相关请求以防护。
🎯
关键要点
- 绿盟科技监测到Next.js存在中间件权限绕过漏洞(CVE-2025-29927)。
- 攻击者可通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
- 受影响版本包括1.4至13.5.6、14.2.24及15.2.2。
- 不受影响版本为Nexjs = 12.3.5、js >= 13.5.9、js >= 14.2.25、js >= 15.2.3。
- 绿盟科技提供外部攻击面管理服务(EASM)进行漏洞风险排查。
- 建议用户尽快升级到官方发布的新版本以修复漏洞。
- 若无法升级,用户可临时拦截包含x-middleware-subrequest标头的请求进行防护。
- 绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
❓
延伸问答
Next.js中间件权限绕过漏洞的具体内容是什么?
Next.js中间件权限绕过漏洞(CVE-2025-29927)允许攻击者通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
哪些版本的Next.js受到此漏洞的影响?
受影响版本包括1.4至13.5.6、14.2.24及15.2.2。
如何防护Next.js中间件权限绕过漏洞?
建议用户尽快升级到官方发布的新版本,若无法升级,可临时拦截包含x-middleware-subrequest标头的请求。
不受影响的Next.js版本有哪些?
不受影响版本为Nexjs = 12.3.5、js >= 13.5.9、js >= 14.2.25、js >= 15.2.3。
绿盟科技提供哪些服务来应对此漏洞?
绿盟科技提供外部攻击面管理服务(EASM)进行漏洞风险排查,并支持Next.js应用的指纹识别和扫描检测。
如果我想了解更多关于此漏洞的信息,应该去哪里?
可以访问绿盟科技的安全公告或相关链接,如GitHub上的安全通告页面。
➡️
