Araştırmacılar Rachid Allam ve Yasser Allam’ın yakın tarihli bir işbirliği çabası, haftalık yaklaşık 10 milyon indirim ile React’e dayanan yaygın olarak kullanılan bir JavaScript çerçevesi olan bir sonraki.js çerçevesinde kritik bir güvenlik açığı ortaya koydu.
Ayrıntılı bir yayında belgelenen araştırmaları, bir sonraki. CVE-2025-29927 olarak adlandırılan ve kritik olarak derecelendirilen bu kusur, korunan kaynaklara yetkisiz erişime izin verir.
Bildirildiğine göre, güvenlik açığı, bir istek tamamlanmadan önce kodu yürütmek için tasarlanmış bir bileşen olan ve kimlik doğrulama ve yetkilendirme dahil olmak üzere önemli güvenlik işlevleri için sıklıkla kullanılır. Ancak, keşfedilen güvenlik açığı, saldırganların bu güvenlik önlemlerini atlamasına izin verir.
Güvenlik açığının çekirdeği, “x-middleware-subreques
T ”başlığı. Bu üstbilgiyi belirli bir değerle manipüle ederek, saldırganlar ara katman yazılımının amaçlanan kurallarını etkili bir şekilde göz ardı edebilir, yetkisiz erişim kazanabilir. Allam’ın açıkladığı gibi,“ başlık ve değeri kuralların geçersiz kılınmasına izin veren evrensel bir anahtar olarak hareket eder. ”
Güvenlik açığı, sonsuz döngülere yol açabilecek özyinelemeli talepleri önlemeye yönelik koddan kaynaklanmaktadır. İronik bir şekilde, bu kod, yetkilendirme bypass’ı sağlayan bir başarısızlık noktası getirdi.
Bu bypass için gereken değer, bir sonraki.js sürümüne bağlı olarak ara katman yazılımının yolundan türetilir.middleware
””src/middleware
”Veya eski sürümlerde“ sayfalar ”dizini içeren bir varyasyon.
Araştırmacılar, yetkilendirme/yeniden yazma bypass, içerik güvenliği politikası (CSP) baypasları ve hatta önbellek zehirlenmesi yoluyla potansiyel hizmet reddi (DOS) saldırıları dahil olmak üzere çeşitli istismarlar gösterdiler.
“Sitenin bir önbellek/CDN sistemi varsa, 404 yanıtın önbelleğini zorlamak, sayfalarını kullanılamaz hale getirmek mümkün olabilir” diye belirtti, çok çeşitli potansiyel etkileri vurgulayarak.
Başlangıçta sadece 12.0.0 ve 12.0.7 sürümlerinin etkilendiğine inanıyorlardı, ancak daha sonra tüm sürümlerin savunmasız olduğunu ve bir sonraki.JS ekibini usulüne uygun olarak bildirdi.
Ekip, güvenlik açığını derhal kabul etti, bir danışmanlık yayınladı ve savunmasız sürümler için yamalar sağladı.
- Next.js 15.x için bu sorun 15.2.3’te sabitlenmiştir.
- Next.js 14.x için bu sorun 14.2.25’te sabitlenmiştir.
- Next.js 13.x için bu sorun 13.5.9’da sabitlenmiştir.
- Next.js 12.x için bu sorun 12.3.5’te sabitlenmiştir.
Daha önceki sürümler, “X-Middleware-Subrequest” üstbilgisini içeren harici isteklerin engellenmesi gibi geçici çözümler gerektirir.
Özellikle, Vercel veya NetLify’da barındırılan uygulamalar otomatik olarak korunmuştur. Çerçevenin koruyucuları o zamandan beri “Ortak İletişim İşareti” yi kaçırmayı kabul ettiler ve özel bir ortak posta listesi oluşturarak gelecekteki güvenlik danışmanlarını iyileştirmeyi taahhüt ettiler.

Daha önce ara katman yazılımının kimlik doğrulama ve yetkilendirmedeki rolünü vurgulayan bir sonraki.js belgesi, o zamandan beri bunun tek güvenlik önlemi olmaması gerektiğini vurgulamak için güncellendi.
Bununla birlikte, CVE-2025-29927’nin keşfi ve açıklanması, özellikle Next.js gibi yaygın olarak kullanılan çerçevelerde uygun güvenlik kontrollerinin önemini göstermektedir.