.png){kind=logo}
【漏洞預警】Next.js 存在高風險授權繞過漏洞(CVE-2025-29927),請儘速修補
研究人員發現,Next.js 存在一個授權繞過漏洞(CVE-2025-29927),攻擊者可利用特製的 x-middleware-subrequest 標頭繞過中間件中的授權檢查,進而未經授權存取受保護的資源。
[影響平台]
Next.js 11.1.4 至 13.5.6
Next.js 14.0 至 14.2.24
Next.js 15.0 至 15.2.2
[建議措施]
官方修補建議
Next.js 15.x:請更新至 15.2.3 或以上版本。
Next.js 14.x:請更新至 14.2.25 或以上版本。
Next.js 11.1.4 至 13.5.6:建議升級至上述修補版本,或採取以下臨時措施。
臨時因應措施
阻擋帶有 x-middleware-subrequest 標頭的外部請求:在伺服器或代理層面過濾此標頭,防止攻擊者利用該漏洞。
[參考資料]
1.https://nvd.nist.gov/vuln/detail/CVE-2025-29927
2.https://zeropath.com/blog/nextjs-middleware-cve-2025-29927-auth-bypass
3.https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
[影響平台]
Next.js 11.1.4 至 13.5.6
Next.js 14.0 至 14.2.24
Next.js 15.0 至 15.2.2
[建議措施]
官方修補建議
Next.js 15.x:請更新至 15.2.3 或以上版本。
Next.js 14.x:請更新至 14.2.25 或以上版本。
Next.js 11.1.4 至 13.5.6:建議升級至上述修補版本,或採取以下臨時措施。
臨時因應措施
阻擋帶有 x-middleware-subrequest 標頭的外部請求:在伺服器或代理層面過濾此標頭,防止攻擊者利用該漏洞。
[參考資料]
1.https://nvd.nist.gov/vuln/detail/CVE-2025-29927
2.https://zeropath.com/blog/nextjs-middleware-cve-2025-29927-auth-bypass
3.https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
瀏覽數: