Next.js Middleware 鉴权绕过漏洞
时间:2025-03-28 16:56 来源:未知 作者:IT
漏洞描述
Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。
在受影响版本中,如果应用使用 Next.js middleware 进行鉴权,由于 Next.js 使用 x-middleware-subrequest HTTP 请求头用于内部重定向流程标识,当内部 5 次重定向之后则跳过鉴权流程。同时用户发送数据中的 HTTP 请求头可覆盖其内部请求头。
当依赖于 middleware 鉴权时,攻击者可能通过包含 x-middleware-subrequest: pages/_middleware 或 x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware 的 HTTP 请求绕过鉴权。
漏洞名称 Next.js Middleware 鉴权绕过漏洞
漏洞类型 授权机制不恰当
发现时间 2025-03-23
漏洞影响广度 -
MPS 编号 MPS-74us-z9c5
CVE 编号 CVE-2025-29927
CNVD 编号 -
影响范围
next@[15.0, 15.2.3)
next@[11.1.4, 14.2.25)
修复方案
将组件 next 升级至 15.2.3 及以上版本
将组件 next 升级至 14.2.25 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-74us-z9c5
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
Commit
免费情报订阅 & 代码安全检测
OSCS 是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
(责任编辑:IT)
| 漏洞描述 Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。 在受影响版本中,如果应用使用 Next.js middleware 进行鉴权,由于 Next.js 使用 x-middleware-subrequest HTTP 请求头用于内部重定向流程标识,当内部 5 次重定向之后则跳过鉴权流程。同时用户发送数据中的 HTTP 请求头可覆盖其内部请求头。 当依赖于 middleware 鉴权时,攻击者可能通过包含 x-middleware-subrequest: pages/_middleware 或 x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware 的 HTTP 请求绕过鉴权。 漏洞名称 Next.js Middleware 鉴权绕过漏洞 漏洞类型 授权机制不恰当 发现时间 2025-03-23 漏洞影响广度 - MPS 编号 MPS-74us-z9c5 CVE 编号 CVE-2025-29927 CNVD 编号 - 影响范围 next@[15.0, 15.2.3) next@[11.1.4, 14.2.25) 修复方案 将组件 next 升级至 15.2.3 及以上版本 将组件 next 升级至 14.2.25 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-74us-z9c5 https://nvd.nist.gov/vuln/detail/CVE-2025-29927 Commit 免费情报订阅 & 代码安全检测 OSCS 是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。 免费代码安全检测工具: https://www.murphysec.com/?src=osc 免费情报订阅: https://www.oscs1024.com/cm/?src=osc 具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc (责任编辑:IT) |