Next.js sérülékenység
Kritikus biztonsági rést azonosítottak a Next.js keretrendszerben, amely lehetővé teszi a támadók számára, hogy megkerüljék az alkalmazásokban implementált jogosultság-ellenőrzéseket. Ez a sebezhetőség, amelyet CVE-2025-29927 azonosítóval láttak el, 9,1-es CVSS pontszámot kapott a lehetséges 10-ből, jelezve a probléma súlyosságát.
A hiba a Next.js belső x-middleware-subrequest
HTTP-fejlécének kezeléséből ered. Ezt a fejlécet a rendszer arra használja, hogy elkerülje a rekurzív kérések által okozott végtelen ciklusokat. Azonban kiderült, hogy külső támadók képesek olyan kéréseket küldeni, amelyek tartalmazzák ezt a fejlécet, így megakadályozva a middleware futását. Ennek eredményeként a kritikus ellenőrzések, például a jogosultságok és a sütik validálása elmaradhat, ami lehetőséget ad a támadóknak az érzékeny adatokhoz való jogosulatlan hozzáférésre.
A sebezhetőség részleteit Rachid Allam biztonsági kutató fedezte fel és jelentette, aki további technikai információkat is közzétett a problémáról. Ezért különösen fontos, hogy a fejlesztők és rendszergazdák mielőbb lépéseket tegyenek a sebezhetőség kihasználásának megelőzése érdekében.
A Next.js fejlesztői kiadták a javított verziókat: 12.3.5, 13.5.9, 14.2.25 és 15.2.3. Mielőbb frissítse alkalmazását a megfelelő verzióra a sebezhetőség kiküszöbölése érdekében.