在 Next.js Web 开发框架中发现了一个被识别为 CVE-2025-29927 的严重漏洞,该漏洞可能使攻击者能够绕过授权检查。此缺陷允许攻击者发送绕过基本安全机制的请求,从而导致对应用程序内路径的未授权访问。Next.js 广泛用于使用 React 构建全栈 Web 应用程序,在 TikTok、Twitch、Hulu、Netflix、Uber 和 Nike 等知名公司中特别受欢迎。
该漏洞的根源在于 Next.js 的中间件组件,这些组件在请求到达应用程序路由系统之前管理身份验证和授权等任务。为了避免无限循环,Next.js 使用一个名为 ‘x-middleware-subrequest’ 的标头来确定是否应该执行中间件函数。但是,攻击者可以通过发送具有适当标头值的请求来利用这一点,有效地绕过中间件执行链并到达预期目的地,而无需进行必要的安全检查。
安全研究人员 Allam Rachid 和 Allam Yasser 强调了问题的严重性,将标头描述为可以覆盖安全规则的“通用密钥”。该漏洞影响 15.2.3、14.2.25、13.5.9 和 12.3.5 之前的 Next.js 的所有版本。建议用户升级到最新版本,以降低与此缺陷相关的风险。