Kritik Next.JS ara katman yazılımı güvenlik açığı, saldırganların yetkilendirmeyi atlamasına izin verir

   Mart 24, 2025  Posted in GBHackers


Next.js, CVE-2025-29927 adını belirleme uyarınca popüler bir reaksiyon çerçevesi olan JS’de ciddi bir güvenlik açığı tanımlanmıştır.

Bu kritik kusur, saldırganların, Zeropath’ın raporuna göre, kimlik doğrulama, yetkilendirme ve güvenlik üstbilgisi uygulamaları için önemli riskler oluşturan ara katman yazılımı tarafından uygulanan güvenlik kontrollerini atlamasına olanak tanır.

CVE-2025-29927: Genel Bakış

İstismar, X-Middleware-Subrequest başlığını manipüle ederek, saldırganların güvenlik kontrollerini atlatmasını sağlayarak çalışır.

Next.js (162.2 öncesi) ‘nin eski sürümleri için başlık aşağıdaki gibi oluşturulabilir:

x-middleware-subrequest: pages/_middleware

Daha yeni sürümlerde, başlık tekrarlayan bir model gerektirir:

x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

SRC dizini kullanan kurulumlar için, ara katman yazılımı SRC/ara katman yazılımı ile değiştirmek gerekir.

Etkilenen ürünler

Aşağıdaki tablo, bu güvenlik açığından etkilenen bir sonraki.js sürümlerini vurgulamaktadır:

Ürün versiyonuEtkilenen sürümler
Next.js 11.x11.1.4 ve daha sonra (Patched)
Next.js 12.xPatched sürümleri
Next.js 13.x13.5.6 ve önceki (Patched)
Next.js 14.x14.2.25’ten önce
Next.js 15.x15.2.3’ten önce

Azaltma stratejileri

Kullanıcıların CVE-2025-29927 ile ilişkili riskleri azaltmak için derhal harekete geçmeleri tavsiye edilir:

  1. Next.js sürümünü güncelle:
    • Next.js 15.x kullananlar için 15.2.3 sürümünü güncelleyin.
    • Next.js 14.x’dekiler için, sürüm 14.2.25 veya üstüne güncelleme.
  2. Edge/Proxy başlık engelleme:
    • Güncelleme uygulanabilir değilse, X-Middleware-Subrequest başlığını kenarınız veya proxy seviyenizde engelleyin. Önemli: Katılımcıyı ara katman yazılımı içindeki engellemeye çalışmayın.

Bu önlemleri derhal uygulayarak, kullanıcılar uygulamalarını bu kritik güvenlik açığının potansiyel istismarlarından koruyabilir.

CVE-2025-29927’nin keşfi, özellikle Next.js gibi yaygın olarak kullanılan çerçeveler için uyanık kalmanın ve yazılımı güncel tutmanın önemini vurgulamaktadır.

Her zaman olduğu gibi, gelişmekte olan tehditlere karşı korumak ve güvenli bir dijital ortam sağlamak için güvenlik güncellemelerine öncelik verilmelidir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link