近日，深信服安全运营团队发现最新漏洞威胁：Next.js Middleware 认证绕过漏洞 CVE-2025-29927

1. 漏洞背景

Next.js是一个基于React的开源Web应用程序框架，旨在为开发者提供构建高性能、可扩展Web应用的工具。由于其在现代Web开发中的广泛应用，一旦存在安全漏洞，可能对大量Web应用构成严重安全威胁。

2. 漏洞详情

CVE-2025-29927漏洞存在于Next.js的Middleware认证机制中，攻击者可以通过特定方式绕过授权检查。如果授权检查发生在middleware中，攻击者可以绕过应用程序的安全机制，导致未经授权的操作、数据泄露和服务中断。深瞳漏洞实验室于2025年3月24日监测并披露了该漏洞，国家信息安全漏洞共享平台（CNVD）对该漏洞的综合评级为"高危"。

3. 漏洞影响

认证绕过攻击者可以绕过应用程序的授权检查。

数据泄露：可能导致敏感信息未经授权访问。

服务安全：可能造成未经授权的操作和服务中断。

4. 漏洞影响范围以下版本受到影响：

• Next.js 11.1.4 < Next.js ≤ 13.5.6

• Next.js 14.0 < Next.js < 14.2.25

• Next.js 15.0 < Next.js < 15.2.3

  
  

5. 处置建议临时缓解：

安全检查：

• 在项目根目录使用 npx next -v 命令检查当前版本。

• 全面审查应用程序的middleware认证机制。

• 加强安全监控，及时发现可疑访问行为。

• 阻止包含 x-middleware-subrequest 标头的外部用户请求到达Next.js应用程序。

及时更新：官方已发布新版本修复该漏洞，建议受影响用户升级至：

• Next.js 14.2.25

• Next.js 15.2.3

官方下载链接：https://github.com/vercel/next.js/releases