大工网安告[2025016]

一、 情况分析

Next.js是一个基于React的流行Web应用框架，提供服务器端渲染、静态网站生成和集成路由系统等功能。

近日，官方修复Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)，该漏洞源于Next.js使用中间件进行身份验证和授权的过程存在漏洞，该漏洞允许攻击者通过操作x-middleware-subrequest请求头来绕过基于中间件的安全控制，从而可能获得对受保护资源和敏感数据的未授权访问。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：身份认证绕过。

技术类型：授权不当。

利用条件：无

危害描述：攻击者通过操作x-middleware-subrequest请求头来绕过基于中间件的安全控制，从而可能获得对受保护资源和敏感数据的未授权访问。

二、 影响版本

15.* <= Next.js <15.2.3

14.* <= Next.js <14.2.25

11.1.4 <= Next.js <= 13.5.6

三、 处置建议

修复解决方案（含漏洞补丁）：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

修复缓解措施：

阻止包含x-middleware-subrequest标头的外部用户请求到达您的Next.js应用程序。