Next.js çerçevesinde, yetkilendirme kontrollerini atlamak ve Web sayfalarına yetkisiz erişim elde etmek için saldırganlar tarafından (örneğin, web uygulamasının yönetici paneli) saldırganlar tarafından kullanılabilir.
Popüler çerçeveyi geliştiren bir hizmet olarak bulut platformu olan Vercel, bunu düzelterek güvenlik güncellemeleri yayınladı ve kullanıcılara mümkün olan en kısa sürede yükseltmelerini tavsiye etti.
Sırada ne var.
Next.js, sayfa oluşturma, yönlendirme, performans ve SEO optimizasyonu vb.
Next.js, bireysel, yeniden kullanılabilir bileşenlerden web kullanıcı arayüzleri oluşturmak için kullanılan bir JavaScript kütüphanesi olan React üzerine inşa edilmiştir ve birlikte hızlı bir şekilde tam yığın, üretime hazır uygulamalar oluşturmak için kullanılırlar.
Next.js, istekleri işlemeye, rotaları korumak, yanıtlara güvenlik üstbilgileri eklemek ve kullanıcı kimlik doğrulaması ve kullanıcı yeniden yönlendirme (örneğin, coğrafi konumuna, oturum / yetkilendirme çerezlerine, vb.)
CVE-2025-29927, saldırganların özel olarak hazırlanmış bir talep göndererek ara katman yazılımı güvenlik kontrollerini atlamasına izin verir X-Middleware-Subrequest Hedef uygulamanın başlığı.
“Eğer eklersek X-Middleware-Subrequest Talebimiz için doğru değere sahip başlık, ara katman yazılımı – amacı ne olursa olsun – tamamen göz ardı edilecek ve istek üzerinden iletilecek Nextresponse.next () ve ara katman yazılımı üzerinde herhangi bir etkisi/etkisi olmadan orijinal varış noktasına yolculuğunu tamamlayacak. Başlık ve değeri, kuralların geçersiz kılınmasına izin veren evrensel bir anahtar olarak hareket ediyor ”dedi.
Güvenlik açığını, geliştiricileri 14 Mart 2025’te geçici yamalar iten Vercel’e özel olarak bildirdiler ve daha sonra birkaç gün sonra bir sonraki.js çerçevesinin çeşitli şubelerinin yeni, sabit versiyonlarını yayınlamaya başladılar.
Ne yapalım?
Next.js, Twitch, Spotify, Binance, Hulu, Tiktok, Openai ve diğerleri gibi işletmeler tarafından yaygın olarak kullanılmaktadır.
Runzero CEO’su HD Moore (Metasploit şöhretinden), Shodan arama motorunun Currenly’nin “ X-Powered-By: Next.js` başlığı ile 300.000’den fazla hizmet gösterdiğine dikkat çekti.
Next.js’nin tüm sürümlerinin CVE-2025-29927’ye karşı savunmasız olduğu bulunmuştur. Sorun 15.2.3, 14.2.25, 13.5.9 ve 12.3.5 sürümlerinde düzeltilmiştir.
Next.js bakımcılarına göre, güvenlik açığı, özellikle sadece kimlik doğrulama veya güvenlik kontrolleri için ara katman yazılımı üzerinde güveniyorsa, Midcesser kullanan bir sonraki. Vercel’de barındırılan ve bulut platformlarında netleştirilen uygulamalar etkilenmez ve uygulamalar da statik ihracat olarak dağıtılmaz (çünkü ara katman yazılımı yürütülmediği için).
“Güvenli bir sürüme yama yapmak mümkün değilse, X-Middleware-Subrequest Üstbilgi İleri.js uygulamanıza ulaşmasından, ”çerçeve koruyucular.
ProjectDiscovery, bu hafifletmenin uygulanabileceği farklı yollar hakkında tavsiyelerde bulunmuştur.
Cloudflare, yönetilen WAF (Web Uygulama Güvenlik Duvarı) müşterileri için bu tür istekleri engelleyen bir kural oluşturdu ve başkalarına özel bir tane oluşturma konusunda tavsiyelerde bulundu.