【漏洞通告】Next.js中间件权限绕过漏洞(CVE-2025-29927)
内容提要
绿盟科技监测到Next.js存在权限绕过漏洞(CVE-2025-29927),攻击者可通过操作x-middleware-subrequest请求头绕过权限控制。受影响版本为11.1.4至15.2.2,建议用户尽快升级至安全版本或临时拦截相关请求以防护。
关键要点
-
绿盟科技监测到Next.js存在权限绕过漏洞(CVE-2025-29927),攻击者可通过操作x-middleware-subrequest请求头绕过权限控制。
-
受影响版本为11.1.4至15.2.2,建议用户尽快升级至安全版本。
-
绿盟科技已成功复现此漏洞,相关用户应及时采取防护措施。
-
官方已发布新版本修复此漏洞,用户可通过拦截x-middleware-subrequest请求头进行临时防护。
延伸解读
漏洞影响范围
此次Next.js的权限绕过漏洞影响了多个版本,包括11.1.4至15.2.2。用户应特别注意自己使用的版本,及时检查是否在受影响范围内,以避免潜在的安全风险。
临时防护措施
在无法立即升级到安全版本的情况下,用户可以通过拦截x-middleware-subrequest请求头来进行临时防护。这一措施虽然不是长久之计,但可以在短期内降低被攻击的风险。
官方修复与升级建议
官方已经发布了修复此漏洞的新版本,建议所有受影响的用户尽快进行升级。及时更新不仅能修复漏洞,还能增强系统的整体安全性,防止未来可能的攻击。
延伸问答
Next.js中的CVE-2025-29927漏洞是什么?
CVE-2025-29927漏洞是Next.js中的权限绕过漏洞,攻击者可以通过操作x-middleware-subrequest请求头绕过权限控制,访问受保护资源。
哪些版本的Next.js受到CVE-2025-29927漏洞影响?
受影响的版本包括11.1.4至13.5.6、14.0.0至14.2.24以及15.0.0至15.2.2。
如何防护CVE-2025-29927漏洞?
用户应尽快升级到官方发布的新版本,或临时拦截包含x-middleware-subrequest请求头的请求以进行防护。
绿盟科技是如何监测到CVE-2025-29927漏洞的?
绿盟科技通过其CERT团队监测到Next.js发布的安全公告,确认了该漏洞的存在。
如果我无法立即升级Next.js,应该怎么办?
如果无法立即升级,可以通过拦截x-middleware-subrequest请求头进行临时防护。
CVE-2025-29927漏洞的具体危害是什么?
该漏洞允许未经身份验证的攻击者绕过权限控制,从而访问受保护的资源,可能导致数据泄露或其他安全问题。
