Een kritieke kwetsbaarheid in het volgende.js webontwikkelingskader kan hackers toestemming laten omzeilen. Gevolgd als CVE-2025-29927Met de fout kunnen aanvallers aanvragen rechtstreeks naar bestemmingspaden sturen, cruciale beveiligingsprotocollen overslaan.
Volgende.js, een veel gebruikt React Framework met meer dan 9 miljoen wekelijks NPM -downloadswordt begunstigd door ontwikkelaars voor het bouwen van full-stack webtoepassingen. Bedrijven zoals Tiktok, Twitch, Hulu, Netflix, Uber en Nike gebruiken het framework voor hun sites en apps.
Middleware -componenten in Next.js behandelen taken zoals authenticatie, autorisatie, logboekregistratie en omleidingsgebruikers voordat een verzoek het applicatierouteringssysteem bereikt. Om oneindige loops te voorkomen, gebruikt Next.js een koptekst ‘X-Middleware-subrequest’, die bepaalt of middleware-functies moeten worden toegepast.
De functie ‘RunMiddleware’ controleert op deze header. Indien gedetecteerd met een specifieke waarde, omzeilt het de volledige middleware -uitvoering en stuurt het verzoek rechtstreeks naar de bestemming. Een aanvaller kan dit exploiteren door een verzoek handmatig te verzenden met de juiste headerwaarde.
Onderzoekers Allam Rachid en Allam Yasser (inzo_), die de kwetsbaarheidverklaarde dat “de koptekst en de waarde ervan als een universele sleutel fungeren waardoor regels kunnen worden opgeheven.”
Het beveiligingsprobleem heeft invloed op alle volgende.js -versies vóór 15.2.3, 14.2.25, 13.5.9 en 12.3.5. Gebruikers moeten onmiddellijk upgraden, omdat technische details voor het benutten van de kwetsbaarheid nu openbaar zijn.
Volgende.js ‘beveiligingsbulletin specificeert Dat CVE-2025-29927 alleen zelf gehost versies beïnvloedt met behulp van ‘Next Start’ met ‘Output: Standalone’. Apps gehost op Vercel en Netlify, of die geïmplementeerd als statische export, worden niet beïnvloed.
Omgevingen waar middleware wordt gebruikt voor autorisatie of beveiligingscontroles zonder daaropvolgende validatie in de applicatie lopen in gevaar.
Als het patchen niet onmiddellijk haalbaar is, is de voorgestelde manier van handelen om externe gebruikersverzoeken te blokkeren, waaronder de header ‘X-Middleware-subrequest’.
