Ssylka

Уязвимость Next.js: обход проверки авторизации через x-middleware-subrequest

Next.js столкнулся с критической уязвимостью, позволяющей злоумышленникам обходить ключевые проверки авторизации, реализуемые через middleware. Уязвимость, обозначенная как CVE-2025-29927, имеет высокий уровень опасности с оценкой CVSS 9.1 из 10.0.
Уязвимость Next.js: обход проверки авторизации через x-middleware-subrequest
Изображение носит иллюстративный характер

Используемый внутренний заголовок x-middleware-subrequest предназначен для предотвращения бесконечных рекурсивных запросов. Однако недостатки в реализации позволили пропускать критические проверки, в том числе валидацию cookie авторизации.

Злоумышленники могут воспользоваться этой уязвимостью для обхода промежуточной обработки запросов. Данный дефект позволяет отправлять запросы без прохождения стандартных проверок, что может привести к несанкционированному доступу к защищённым маршрутам.

Использование middleware в качестве единственного механизма авторизации увеличивает риск эксплуатации. Сайты, полагающиеся исключительно на проверки на уровне Next.js, могут оказаться уязвимыми для получения доступа к страницам, предназначенным для администраторов и пользователей с повышенными привилегиями.

Уязвимость была устранена в обновлениях Next.js версий 12.3.5, 13.5.9, 14.2.25 и 15.2.3. Применение патчей позволяет оперативно нейтрализовать угрозу и восстановить требуемый уровень безопасности приложений.

При невозможности немедленного обновления рекомендуется блокировать входящие пользовательские запросы, содержащие заголовок x-middleware-subrequest, что снижает риск обхода авторизационных проверок.

Об обнаружении проблемы сообщил специалист по безопасности Рачид Аллам, также известный под псевдонимами «zhero» и «cold-try». Он опубликовал подробные технические сведения, подчеркнув острую необходимость в обновлении для снижения потенциальных угроз.

По информации JFrog, данная уязвимость позволяет злоумышленникам обходить проверки, осуществляемые middleware, что может вести к компрометации конфиденциальных данных и несанкционированному доступу к критическим разделам веб-сайтов.


Новое на сайте

15811Как скандальные сериалы "Baby Reindeer" и "Mr Bates" изменили... 15810Историческая реконструкция: как театр в Брэдфорде станет доступным для всех 15809Революция в индустрии похудения: почему Ozempic вытесняет традиционные диеты 15808Как оценить качество воздуха в вашем доме: полное руководство 15807Почему использование посудомоечной машины превосходит ручную мойку посуды? 15806Амбициозный план Кеннеди по раскрытию причин аутизма сталкивается с научным скептицизмом 15805Какой очиститель воздуха выбрать владельцам домашних животных в 2025 году? 15804Хоацин: доисторический "вонючий" обитатель амазонских джунглей 15803Эволюция диагностики аутизма: рост выявляемости, а не распространенности 15802Как новый алгоритм BOSSA может решить "проблему коктейльной вечеринки" для... 15801Как Peloton изменил домашние тренировки и почему его велотренажеры считаются лучшими? 15800Историческое событие для фанатов: "доктор кто" впервые высадится в Лагосе 15799Где наблюдать за весенней миграцией птиц в Йоркшире и Линкольншире? 15798Сергей Эгельман | Семинар премии Норма Харди 2024 15797Как Google заплатит Техасу $1,4 млрд за сбор данных без разрешения?