Vulnerabilitatea Next.js Middleware permite obținerea de acces neautorizat

O vulnerabilitate de securitate semnificativă (CVE-2025-29927) a fost identificată în Next.js, permițând atacatorilor să ocolească complet sistemele de securitate de control bazate pe middleware prin manipularea antetului x-middleware-subrequest.

Această vulnerabilitate critică afectează fluxurile de autentificare, controalele de autorizare, rescrierea căii și implementările antetelor de securitate în mai multe versiuni Next.js, expunând potențial mii de aplicații web la acces neautorizat.

Middleware-ul Next.js este o componentă esențială pentru punerea în aplicare a verificărilor de autentificare, a rescrierii căilor, a redirecționărilor server-side și a antetelor de securitate, cum ar fi Politica de Securitate a Conținutului (CSP).

Impactul este semnificativ, deoarece middleware-ul este utilizat în mod obișnuit pentru funcții critice de securitate în aplicațiile Next.js.

Atunci când sunt exploatate, atacatorii pot accesa interfețe administrative securizate, pot ocoli condițiile de autentificare și chiar pot eluda antetele de securitate precum CSP.

Produsele afectate sunt:

• Next.js 11.1.4 până la 13.5.6 (fără patch-uri);
• Next.js 14.x înainte de 14.2.25;
• Next.js 15.x înainte de 15.2.3.

Au fost lansate următoarele patch-uri cu actualizări pentru vulnerabilitate:

• pentru Next.js 15.x: actualizați la versiunea 15.2.3 sau o versiune mai recentă;
• pentru Next.js 14.x: actualizați la versiunea 14.2.25 sau la o versiune mai recentă;
• pentru Next.js 13.x: actualizați la versiunea 13.5.9 sau la o versiune mai recentă.

CVE-2025-29927 demonstrează cum mecanismele interne ale framework-ului pot crea vulnerabilități de securitate semnificative.

Sursă: https://cybersecuritynews.com/critical-next-js-middleware-vulnerability/