Kritická zraniteľnosť Next.js

Framework Next.js obsahuje kritickú zraniteľnosť, ktorá umožňuje útočníkom obísť kontroly autorizácie pomocou špeciálne vytvorených požiadaviek, ak prebiehajú v Middleware a ďalej už nie.

Zraniteľné systémy:

• Next.js 15.0.0 až staršie ako 15.2.3
• Next.js 14.0.0 až staršie ako 14.2.25
• Next.js 13.0.0 až staršie ako 13.5.9
• Next.js 11.1.4 až staršie ako 12.3.5

Opis činnosti:

CVE-2025-29927 (CVSS skóre 9,1)

Kritická zraniteľnosť umožňuje obísť kontroly autorizácie v rámci inštancií Next.js, ak kontroly prebiehajú v Middleware a aplikácie používajú funkciu next start s parametrom output: ‘standalone‘.

Útočník na to môže zneužiť požiadavky s určitou hodnotou hlavičky x-middleware-subrequest, ktorá spôsobí, že kontrola požiadavky v Middleware sa preskočí, a funkcia NextResponse.next() ju prepošle priamo do cieľového bodu.

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu:

• Next.js 15.x na verziu 15.2.3
• Next.js 14.x na verziu 14.2.25
• Next.js 13.x na verziu 13.5.9
• Next.js 12.x na verziu 12.3.5

Ak aktualizácia nie je možná, pre mitigáciu zraniteľnosti zakážte dostupnosť aplikácie Next.js pre externé požiadavky s hlavičkou x-middleware-subrequest.

Inštancie Next.js hostované cez riešenie Vercel a Netlify sú chránené voči danej zraniteľnosti.

Odkazy:

• https://github.com/advisories/GHSA-f82v-jwr5-mffw
• https://nextjs.org/blog/cve-2025-29927
• https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware