Next.js столкнулся с критической уязвимостью, позволяющей злоумышленникам обходить ключевые проверки авторизации, реализуемые через middleware. Уязвимость, обозначенная как CVE-2025-29927, имеет высокий уровень опасности с оценкой CVSS 9.1 из 10.0.
Используемый внутренний заголовок x-middleware-subrequest предназначен для предотвращения бесконечных рекурсивных запросов. Однако недостатки в реализации позволили пропускать критические проверки, в том числе валидацию cookie авторизации.
Злоумышленники могут воспользоваться этой уязвимостью для обхода промежуточной обработки запросов. Данный дефект позволяет отправлять запросы без прохождения стандартных проверок, что может привести к несанкционированному доступу к защищённым маршрутам.
Использование middleware в качестве единственного механизма авторизации увеличивает риск эксплуатации. Сайты, полагающиеся исключительно на проверки на уровне Next.js, могут оказаться уязвимыми для получения доступа к страницам, предназначенным для администраторов и пользователей с повышенными привилегиями.
Уязвимость была устранена в обновлениях Next.js версий 12.3.5, 13.5.9, 14.2.25 и 15.2.3. Применение патчей позволяет оперативно нейтрализовать угрозу и восстановить требуемый уровень безопасности приложений.
При невозможности немедленного обновления рекомендуется блокировать входящие пользовательские запросы, содержащие заголовок x-middleware-subrequest, что снижает риск обхода авторизационных проверок.
Об обнаружении проблемы сообщил специалист по безопасности Рачид Аллам, также известный под псевдонимами «zhero» и «cold-try». Он опубликовал подробные технические сведения, подчеркнув острую необходимость в обновлении для снижения потенциальных угроз.
По информации JFrog, данная уязвимость позволяет злоумышленникам обходить проверки, осуществляемые middleware, что может вести к компрометации конфиденциальных данных и несанкционированному доступу к критическим разделам веб-сайтов.
Изображение носит иллюстративный характер
Используемый внутренний заголовок x-middleware-subrequest предназначен для предотвращения бесконечных рекурсивных запросов. Однако недостатки в реализации позволили пропускать критические проверки, в том числе валидацию cookie авторизации.
Злоумышленники могут воспользоваться этой уязвимостью для обхода промежуточной обработки запросов. Данный дефект позволяет отправлять запросы без прохождения стандартных проверок, что может привести к несанкционированному доступу к защищённым маршрутам.
Использование middleware в качестве единственного механизма авторизации увеличивает риск эксплуатации. Сайты, полагающиеся исключительно на проверки на уровне Next.js, могут оказаться уязвимыми для получения доступа к страницам, предназначенным для администраторов и пользователей с повышенными привилегиями.
Уязвимость была устранена в обновлениях Next.js версий 12.3.5, 13.5.9, 14.2.25 и 15.2.3. Применение патчей позволяет оперативно нейтрализовать угрозу и восстановить требуемый уровень безопасности приложений.
При невозможности немедленного обновления рекомендуется блокировать входящие пользовательские запросы, содержащие заголовок x-middleware-subrequest, что снижает риск обхода авторизационных проверок.
Об обнаружении проблемы сообщил специалист по безопасности Рачид Аллам, также известный под псевдонимами «zhero» и «cold-try». Он опубликовал подробные технические сведения, подчеркнув острую необходимость в обновлении для снижения потенциальных угроз.
По информации JFrog, данная уязвимость позволяет злоумышленникам обходить проверки, осуществляемые middleware, что может вести к компрометации конфиденциальных данных и несанкционированному доступу к критическим разделам веб-сайтов.
