React框架Next.js出现严重安全漏洞

信息安全 来源：AGI安全 2025-03-25 14:46:58 阅读：37

Next.js 是一款流行的 React 框架，可帮助开发人员快速高效地构建全栈 Web 应用程序，它最近披露了一个关键的授权绕过漏洞，需要开发人员立即关注。

漏洞编号为 CVE-2025-29927 ， CVSS 评分为 9.1

如果授权检查发生在中间件中，则有可能绕过 Next.js 应用程序中的授权检查。这意味着恶意行为者可能会在依赖中间件进行身份验证和授权的应用程序中未经授权访问受保护的资源和功能。

Next.js 中的中间件在请求到达应用程序路由之前拦截和处理请求方面起着至关重要的作用。在中间件中实现授权逻辑是一种常见做法，以确保只有经过身份验证和授权的用户才能访问应用程序的特定部分。新发现的漏洞允许攻击者绕过这些检查，可能导致数据泄露、未经授权的操作和服务中断等严重后果。

Next.js 团队已发布修补版本，迅速解决了 CVE-2025-29927 问题。

对于 Next.js 15.x，此问题已在 15.2.3 中修复

对于 Next.js 14.x，此问题已在 14.2.25 中修复

如果您的项目使用其中一个主要版本，则升级到指定的补丁级别是缓解此漏洞的最重要步骤。

对于仍在运行旧版本 Next.js（特别是 Next.js 版本 11.1.4 至 13.5.6）的用户，如果无法修补到安全版本，临时解决方案如下：我们建议阻止包含 x-middleware-subrequest 标头的外部用户请求到达 Next.js 应用程序,但是这种解决方法可能会对某些应用程序功能产生影响，而全面升级到修补版本仍应是最终目标。