Next.js, CVE-2025-29927 adını belirleme uyarınca popüler bir reaksiyon çerçevesi olan JS’de ciddi bir güvenlik açığı tanımlanmıştır.
Bu kritik kusur, saldırganların, Zeropath’ın raporuna göre, kimlik doğrulama, yetkilendirme ve güvenlik üstbilgisi uygulamaları için önemli riskler oluşturan ara katman yazılımı tarafından uygulanan güvenlik kontrollerini atlamasına olanak tanır.
CVE-2025-29927: Genel Bakış
İstismar, X-Middleware-Subrequest başlığını manipüle ederek, saldırganların güvenlik kontrollerini atlatmasını sağlayarak çalışır.
Next.js (162.2 öncesi) ‘nin eski sürümleri için başlık aşağıdaki gibi oluşturulabilir:
x-middleware-subrequest: pages/_middleware
Daha yeni sürümlerde, başlık tekrarlayan bir model gerektirir:
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
SRC dizini kullanan kurulumlar için, ara katman yazılımı SRC/ara katman yazılımı ile değiştirmek gerekir.
Etkilenen ürünler
Aşağıdaki tablo, bu güvenlik açığından etkilenen bir sonraki.js sürümlerini vurgulamaktadır:
Ürün versiyonu | Etkilenen sürümler |
Next.js 11.x | 11.1.4 ve daha sonra (Patched) |
Next.js 12.x | Patched sürümleri |
Next.js 13.x | 13.5.6 ve önceki (Patched) |
Next.js 14.x | 14.2.25’ten önce |
Next.js 15.x | 15.2.3’ten önce |
Azaltma stratejileri
Kullanıcıların CVE-2025-29927 ile ilişkili riskleri azaltmak için derhal harekete geçmeleri tavsiye edilir:
- Next.js sürümünü güncelle:
- Next.js 15.x kullananlar için 15.2.3 sürümünü güncelleyin.
- Next.js 14.x’dekiler için, sürüm 14.2.25 veya üstüne güncelleme.
- Edge/Proxy başlık engelleme:
- Güncelleme uygulanabilir değilse, X-Middleware-Subrequest başlığını kenarınız veya proxy seviyenizde engelleyin. Önemli: Katılımcıyı ara katman yazılımı içindeki engellemeye çalışmayın.
Bu önlemleri derhal uygulayarak, kullanıcılar uygulamalarını bu kritik güvenlik açığının potansiyel istismarlarından koruyabilir.
CVE-2025-29927’nin keşfi, özellikle Next.js gibi yaygın olarak kullanılan çerçeveler için uyanık kalmanın ve yazılımı güncel tutmanın önemini vurgulamaktadır.
Her zaman olduğu gibi, gelişmekte olan tehditlere karşı korumak ve güvenli bir dijital ortam sağlamak için güvenlik güncellemelerine öncelik verilmelidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free