【漏洞通告】Next.js 中间件授权绕过漏洞(CVE-2025-29927)

文章预览

一、漏洞概述 漏洞名称 Next.js 中间件授权绕过漏洞 CVE   ID CVE-2025-29927 漏洞类型 授权绕过漏洞 发现时间 2025-03-24 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Next.js是一个基于React的开源框架，用于构建现代web应用程序。它提供了服务器端渲染（SSR）、静态生成（SSG）、API路由等功能，支持快速构建高性能的全栈应用。Next.js提供了开发和生产环境的优化，易于部署，广泛应用于企业级应用和内容驱动的网站。 2025年3月24日，启明星辰集团VSRC监测到国外安全研究员在zhero-web-sec发布的文章中指出，Next.js 14.2.25及15.2.3之前的版本存在一个严重的中间件授权绕过漏洞。攻击者可以通过在请求中添加x-middleware-subrequest头部，绕过中间件的授权和认证检查，进而访问受保护的资源或绕过安全控 ………………………………