Asurgents cybersäkerhetsblogg: Kritisk säkerhetsbrist i Next.js – Obehörig auktorisering

En kritisk säkerhetsbrist har upptäckts i Next.js, ett populärt open-source-webbutvecklingsramverk, som gör det möjligt för angripare att kringgå auktorisationskontroller. Sårbarheten, identifierad som CVE-2025-29927, påverkar alla versioner av Next.js före 15.2.3, 14.2.25, 13.5.9 och 12.3.5 och har ett CVSS-poäng på 9,1 av 10.

Orsak och teknisk beskrivning

Problemet orsakas av en intern header, "x-middleware-subrequest", som används för att förhindra att rekursiva förfrågningar skapar oändliga loopar. Genom denna sårbarhet kan angripare hoppa över hela middleware-kedjan och skicka förfrågningar direkt till destinationsvägar utan att genomgå viktiga säkerhetskontroller. Detta innebär att säkerhets- och auktorisationsregler inte tillämpas innan förfrågningarna når slutpunkterna.

Påverkade miljöer och åtgärder

Det är viktigt att notera att denna sårbarhet endast påverkar versioner som körs på egna servrar eller infrastruktur och använder "next start" med "output: standalone". Next.js-applikationer som är hostade via Vercel eller Netlify, eller som har exporterats som statiska sidor, påverkas inte av problemet.

Sårbarheterna har åtgärdats i versionerna 12.3.5, 13.5.9, 14.2.25 och 15.2.3. Om patchning inte är möjlig rekommenderas användare att blockera externa förfrågningar som innehåller "x-middleware-subrequest"-headern från att nå Next.js-applikationen.

Källor:

• https://www.bleepingcomputer.com/news/security/critical-flaw-in-nextjs-lets-hackers-bypass-authorization/
• https://thehackernews.com/2025/03/critical-nextjs-vulnerability-allows.html