Sonraki bir güvenlik kusuru açıklanmıştır.
Güvenlik açığı, CVE-2025-2992710.0 üzerinden 9.1 CVSS puanı taşır.
JS, “Next.js, özyinelemeli isteklerin sonsuz döngüleri tetiklemesini önlemek için dahili bir başlık X-Middleware-Subrequest kullanıyor.”
“Rotalara ulaşmadan önce, yetkilendirme çerez doğrulaması gibi kritik kontrolleri atlamaya izin verebilecek çalışan ara ara katman yazılımı atlamak mümkün oldu.”
Eksiklik, 12.3.5, 13.5.9, 14.2.25 ve 15.2.3 sürümlerinde ele alınmıştır. Yama bir seçenek değilse, kullanıcıların X-Middleware-Subrequest başlıkını içeren harici kullanıcı isteklerinin bir sonraki.js uygulamasına ulaşmasını önlemeleri önerilir.
Güvenlik araştırmacısı Rachid Allam (diğer aka Zhero ve Cold-trip), kusuru keşfetmek ve raporlamakla kredilendirilmiş, o zamandan beri kusurun ek teknik ayrıntılarını yayınladı ve bu da kullanıcıların düzeltmeleri uygulamak için hızlı bir şekilde hareket etmesini zorunlu kılmaktadır.
Jfrog, “Güvenlik açığı, saldırganların bir sonraki adımda gerçekleştirilen yetkilendirme kontrollerini kolayca atlamasına izin veriyor.
Şirket ayrıca, herhangi bir ek yetkilendirme kontrolü olmadan kullanıcıları yetkilendirmek için ara katman yazılımı kullanan herhangi bir ev sahibi web sitesinin CVE-2025-29927’ye karşı savunmasız olduğunu ve potansiyel olarak saldırganların başka türlü yetkisiz kaynaklara (örneğin yönetici sayfaları) erişmesini sağladığını söyledi.