
React框架Next.js出現(xiàn)嚴(yán)重安全漏洞
聲明:該文章來自(AGI安全)版權(quán)由原作者所有,K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。
Next.js 是一款流行的 React 框架,可幫助開發(fā)人員快速高效地構(gòu)建全棧 Web 應(yīng)用程序,它最近披露了一個(gè)關(guān)鍵的授權(quán)繞過漏洞,需要開發(fā)人員立即關(guān)注。
漏洞編號(hào)為 CVE-2025-29927 , CVSS 評(píng)分為 9.1
如果授權(quán)檢查發(fā)生在中間件中,則有可能繞過 Next.js 應(yīng)用程序中的授權(quán)檢查。這意味著惡意行為者可能會(huì)在依賴中間件進(jìn)行身份驗(yàn)證和授權(quán)的應(yīng)用程序中未經(jīng)授權(quán)訪問受保護(hù)的資源和功能。
Next.js 中的中間件在請(qǐng)求到達(dá)應(yīng)用程序路由之前攔截和處理請(qǐng)求方面起著至關(guān)重要的作用。在中間件中實(shí)現(xiàn)授權(quán)邏輯是一種常見做法,以確保只有經(jīng)過身份驗(yàn)證和授權(quán)的用戶才能訪問應(yīng)用程序的特定部分。新發(fā)現(xiàn)的漏洞允許攻擊者繞過這些檢查,可能導(dǎo)致數(shù)據(jù)泄露、未經(jīng)授權(quán)的操作和服務(wù)中斷等嚴(yán)重后果。
Next.js 團(tuán)隊(duì)已發(fā)布修補(bǔ)版本,迅速解決了 CVE-2025-29927 問題。
對(duì)于 Next.js 15.x,此問題已在 15.2.3 中修復(fù)
對(duì)于 Next.js 14.x,此問題已在 14.2.25 中修復(fù)
如果您的項(xiàng)目使用其中一個(gè)主要版本,則升級(jí)到指定的補(bǔ)丁級(jí)別是緩解此漏洞的最重要步驟。
對(duì)于仍在運(yùn)行舊版本 Next.js(特別是 Next.js 版本 11.1.4 至 13.5.6)的用戶,如果無法修補(bǔ)到安全版本,臨時(shí)解決方案如下:我們建議阻止包含 x-middleware-subrequest 標(biāo)頭的外部用戶請(qǐng)求到達(dá) Next.js 應(yīng)用程序,但是這種解決方法可能會(huì)對(duì)某些應(yīng)用程序功能產(chǎn)生影響,而全面升級(jí)到修補(bǔ)版本仍應(yīng)是最終目標(biāo)。
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/
- 1 中華民族偉大復(fù)興勢(shì)不可擋 7903976
- 2 雷軍:小米17對(duì)標(biāo)iPhone 正面迎戰(zhàn) 7809097
- 3 超級(jí)航母18年來首次通過臺(tái)灣海峽 7713880
- 4 國(guó)家網(wǎng)絡(luò)安全宣傳周今天啟動(dòng) 7617147
- 5 素顏藝考被擦妝5次的女生開學(xué)了 7521722
- 6 長(zhǎng)春兩女子鬧市被銬走 警方回應(yīng) 7426712
- 7 特朗普威脅:將宣布全國(guó)緊急狀態(tài) 7333429
- 8 太二酸菜魚為何沒人吃了 7235830
- 9 俄軍投彈炸倒烏士兵 女兵脫裝備狂奔 7143925
- 10 國(guó)慶中秋假期前后上班時(shí)間有調(diào)整 7041490