Next.js 是一款流行的 React 框架，可幫助開(kāi)發(fā)人員快速高效地構(gòu)建全棧 Web 應(yīng)用程序，它最近披露了一個(gè)關(guān)鍵的授權(quán)繞過(guò)漏洞，需要開(kāi)發(fā)人員立即關(guān)注。

漏洞編號(hào)為 CVE-2025-29927 ， CVSS 評(píng)分為 9.1

如果授權(quán)檢查發(fā)生在中間件中，則有可能繞過(guò) Next.js 應(yīng)用程序中的授權(quán)檢查。這意味著惡意行為者可能會(huì)在依賴中間件進(jìn)行身份驗(yàn)證和授權(quán)的應(yīng)用程序中未經(jīng)授權(quán)訪問(wèn)受保護(hù)的資源和功能。

Next.js 中的中間件在請(qǐng)求到達(dá)應(yīng)用程序路由之前攔截和處理請(qǐng)求方面起著至關(guān)重要的作用。在中間件中實(shí)現(xiàn)授權(quán)邏輯是一種常見(jiàn)做法，以確保只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的用戶才能訪問(wèn)應(yīng)用程序的特定部分。新發(fā)現(xiàn)的漏洞允許攻擊者繞過(guò)這些檢查，可能導(dǎo)致數(shù)據(jù)泄露、未經(jīng)授權(quán)的操作和服務(wù)中斷等嚴(yán)重后果。

Next.js 團(tuán)隊(duì)已發(fā)布修補(bǔ)版本，迅速解決了 CVE-2025-29927 問(wèn)題。

對(duì)于 Next.js 15.x，此問(wèn)題已在 15.2.3 中修復(fù)

對(duì)于 Next.js 14.x，此問(wèn)題已在 14.2.25 中修復(fù)

如果您的項(xiàng)目使用其中一個(gè)主要版本，則升級(jí)到指定的補(bǔ)丁級(jí)別是緩解此漏洞的最重要步驟。

對(duì)于仍在運(yùn)行舊版本 Next.js（特別是 Next.js 版本 11.1.4 至 13.5.6）的用戶，如果無(wú)法修補(bǔ)到安全版本，臨時(shí)解決方案如下：我們建議阻止包含 x-middleware-subrequest 標(biāo)頭的外部用戶請(qǐng)求到達(dá) Next.js 應(yīng)用程序,但是這種解決方法可能會(huì)對(duì)某些應(yīng)用程序功能產(chǎn)生影響，而全面升級(jí)到修補(bǔ)版本仍應(yīng)是最終目標(biāo)。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/