关于Next.js 中间件授权绕过漏洞(CVE-2025-29927)的安全预警

一、基本情况

Next.js是一个基于React的开源框架，用于构建现代web应用程序。它提供了服务器端渲染（SSR）、静态生成（SSG）、API路由等功能，支持快速构建高性能的全栈应用。Next.js提供了开发和生产环境的优化，易于部署，广泛应用于企业级应用和内容驱动的网站。

二、漏洞描述

国外安全研究员在zhero-web-sec发布的文章中指出，Next.js 14.2.25及15.2.3之前的版本存在一个严重的中间件授权绕过漏洞。攻击者可以通过在请求中添加x-middleware-subrequest头部，绕过中间件的授权和认证检查，进而访问受保护的资源或绕过安全控制。该漏洞可能导致信息泄露、恶意数据访问等安全风险。该漏洞的CVSS评分为9.1，漏洞级别严重。

三、影响范围

11.1.4 <= next.js <= 13.5.6

14.0 <= next.js < 14.2.25

15.0 <= next.js<15.2.3

四、修复建议

官方已发布修复版本，建议受影响用户尽快更新。

下载链接：https://github.com/vercel/next.js/releases/

五、参考链接

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2

https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48

https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

https://nvd.nist.gov/vuln/detail/CVE-2025-29927

网络安全