股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
发布时间 :2025年03月25日
类型 :公司新闻
分享:
今日,威尼斯432888camCERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保护资源和敏感数据。
目前官方已发布安全更新,威尼斯432888camCERT建议受影响的客户尽快升级至最新版本。
Next.js 是一个基于 React 的前端框架,兼顾服务端渲染(SSR)和静态站点生成(SSG)两种模式。它通过内置的路由系统和数据获取方式,让开发者更轻松地创建高性能、可扩展的单页或多页应用,同时提升网站的搜索引擎优化(SEO)效果。借助 Next.js,开发者可以在不改变 React 使用习惯的前提下,结合服务端渲染和静态导出等特性,快速构建复杂的 Web 应用程序。
漏洞编号、类型、等级和评分
CVE-2025-29927 授权绕过漏洞 紧急 CVSS3.0:9.1分 CVSS2.0:9.4分
漏洞状态 细节 PoC EXP 在野利用 复现情况 已公开 已公开 已公开 未发现 无复现 受影响版本 15.* <= Next.js <15.2.3 14.* <= Next.js <14.2.25 11.1.4 <= Next.js <= 13.5.6
产品解决方案 目前威尼斯432888cam怒狮引擎已第一时间新增了检测规则,支持CVE-2025-29927漏洞的检测,请及时更新TDA产品的特征库到最新版本。规则编号:106065313,规则名称:Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)。 更新方式如下: TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新; TDA产品离线升级PTN包下载链接如下:
详细下载地址请后台咨询
修复建议 官方已发布安全补丁通告,建议受影响的用户到官网下载补丁升级到最新版本。
?https://github.com/vercel/next.js/releases/tag/v15.2.3
参考链接 https://www.oscs1024.com/hd/MPS-74us-z9c5 https://nvd.nist.gov/vuln/detail/CVE-2025-29927 https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2 本文发布的补丁下载链接均源自各原厂官方网站。尽管威尼斯432888cam努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
分享到微信
X