【漏洞通告】Next.js中间件权限绕过漏洞(CVE-2025-29927)
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
绿盟科技监测到Next.js存在权限绕过漏洞(CVE-2025-29927),攻击者可通过操作x-middleware-subrequest请求头绕过权限控制。受影响版本为11.1.4至15.2.2,建议用户尽快升级至安全版本或临时拦截相关请求以防护。
🎯
关键要点
-
绿盟科技监测到Next.js存在权限绕过漏洞(CVE-2025-29927),攻击者可通过操作x-middleware-subrequest请求头绕过权限控制。
-
受影响版本为11.1.4至15.2.2,建议用户尽快升级至安全版本。
-
绿盟科技已成功复现此漏洞,相关用户应及时采取防护措施。
-
官方已发布新版本修复此漏洞,用户可通过拦截x-middleware-subrequest请求头进行临时防护。
❓
延伸问答
Next.js中的CVE-2025-29927漏洞是什么?
CVE-2025-29927漏洞是Next.js中的权限绕过漏洞,攻击者可以通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
哪些版本的Next.js受到CVE-2025-29927漏洞影响?
受影响的版本包括11.1.4至13.5.6、14.0.0至14.2.24以及15.0.0至15.2.2。
如何防护CVE-2025-29927漏洞?
用户应尽快升级到官方发布的新版本,或临时拦截包含x-middleware-subrequest请求头的请求以进行防护。
绿盟科技是如何监测到CVE-2025-29927漏洞的?
绿盟科技通过其CERT团队监测到Next.js发布的安全公告,确认了该漏洞的存在。
如果我无法立即升级Next.js,应该怎么办?
如果无法立即升级,可以通过拦截x-middleware-subrequest请求头进行临时防护。
CVE-2025-29927漏洞的具体危害是什么?
该漏洞允许未经身份验证的攻击者绕过权限控制,从而访问受保护的资源,可能导致数据泄露或其他安全问题。
➡️
