CVE-2025-29927
内容提要
Next.js 15.2.3版本已发布,修复了安全漏洞CVE-2025-29927。建议所有使用next start和'standalone'输出的自托管部署立即更新,以防止影响身份验证和安全性。该漏洞在15.x和14.x版本中分别通过15.2.3和14.2.25修复。
关键要点
-
Next.js 15.2.3版本已发布,修复了安全漏洞CVE-2025-29927。
-
建议所有使用next start和'standalone'输出的自托管部署立即更新。
-
该漏洞在15.x和14.x版本中分别通过15.2.3和14.2.25修复。
-
安全漏洞报告显示,可能跳过中间件的运行,导致关键检查未被验证。
-
使用中间件的自托管Next.js应用程序受到影响,特别是依赖于身份验证或安全检查的应用。
-
对于Next.js 15.x,问题已在15.2.3中修复;对于14.x,问题已在14.2.25中修复。
-
如果无法更新到安全版本,建议阻止包含x-middleware-subrequest头的外部用户请求。
-
Next.js自2016年以来已发布16个安全建议,不断改进漏洞的收集、修补和披露方式。
-
GitHub安全建议和CVE是通知用户和公司软件漏洞的行业标准方法。
延伸问答
CVE-2025-29927是什么漏洞?
CVE-2025-29927是一个安全漏洞,可能导致跳过中间件的运行,从而未验证关键检查,如身份验证。
Next.js的哪个版本修复了CVE-2025-29927?
CVE-2025-29927在Next.js 15.2.3和14.2.25版本中分别被修复。
使用Next.js的自托管部署应该如何应对这个漏洞?
建议所有使用next start和'standalone'输出的自托管部署立即更新,以防止安全影响。
如果无法更新到安全版本,我该怎么办?
如果无法更新,建议阻止包含x-middleware-subrequest头的外部用户请求。
Next.js自2016年以来发布了多少个安全建议?
自2016年以来,Next.js发布了16个安全建议。
CVE和GitHub安全建议的作用是什么?
CVE和GitHub安全建议是通知用户和公司软件漏洞的行业标准方法。
