Saldırganların yetkilendirme kontrollerini atlamasına izin veren bir sonraki.JS açık kaynaklı web geliştirme çerçevesinde kritik bir ciddiyet güvenlik açığı keşfedilmiştir.
CVE-2025-29927 olarak izlenen kusur, saldırganların kritik güvenlik kontrollerinden geçmeden varış yollarına ulaşan istekleri göndermelerini sağlar.
Next.js, NPM’de haftalık 9 milyondan fazla indirme ile popüler bir React çerçevesidir. Tam yığın web uygulamaları oluşturmak için kullanılır ve kimlik doğrulama ve yetkilendirme için ara katman yazılımı bileşenleri içerir.
Ön uç ve tam yığın geliştiricileri, React ile web uygulamaları oluşturmak için kullanıyor. Siteleri/uygulamaları için kullanan daha önemli şirketlerden bazıları Tiktok, Twitch, Hulu, Netflix, Uber ve Nike.
Yetkilendirme Bypass
Next.js, ara katman yazılımı bileşenleri, bir istek bir uygulama yönlendirme sistemine çarpmadan ve kimlik doğrulama, yetkilendirme, günlüğe kaydetme, hata işleme, kullanıcıları yeniden yönlendirme, coğrafi bloklama veya hız sınırları uygulama gibi amaçlara hizmet eder.
Middle yazılımının kendisini yeniden tetiklediği sonsuz döngüleri önlemek için, next.js, ara katman yazılımı işlevlerinin uygulanıp uygulanmayacağını belirleyen ‘X-Middleware-Subrequest’ adlı bir başlık kullanır.
Başlık, gelen isteklerin işlenmesinden sorumlu ‘Runmiddleware’ işlevi tarafından alınır. ‘X-Middleware-Subrequest’ başlığını belirli bir değerle algılıyorsa, tüm ara katman yazılımı yürütme zinciri atlanır ve istek hedefine iletilir.
Bir saldırgan, başlığı doğru bir değere sahip ve böylece koruma mekanizmalarını içeren bir istek gönderebilir.
Araştırmacılar Allam Rachid ve Güvenlik Açığı’nı keşfeden ve teknik bir yazı yayınlayan Allam Rachid ve Allam Yasser’a (Inzo_) göre, “Başlık ve değeri kuralların geçersiz kılınmasına izin veren evrensel bir anahtar olarak hareket ediyor.”
Güvenlik açığı, 15.2.3, 14.2.25, 13.5.9’dan önce tüm sonraki sürümleri etkiler. ve 12.3.5. Güvenlik sorunundan yararlanmak için teknik detaylar herkese açık olduğundan, kullanıcıların mümkün olan en kısa sürede yeni revizyonlara yükseltilmeleri önerilir.
Next.js ‘Güvenlik Bülteni, CVE-2025-29927’nin yalnızca’ Sonraki Başlangıç’ı ‘çıktı: bağımsız’ ile kullanan kendi kendine barındırılan sürümleri etkilediğini açıklar. Next.js Uygulamaları Vercel’de barındırılan ve statik ihracat olarak dağıtılan veya dağıtılan uygulamalar etkilenmez.
Ayrıca, ara katman yazılımının yetkilendirme veya güvenlik kontrolleri için kullanıldığı ortamlar da etkilenir ve daha sonra uygulamada doğrulama yapılmamıştır.
Yama işlemi o zaman mümkün değilse, öneri ‘X-Middleware-Subrequest üstbilgisini’ içeren harici kullanıcı isteklerini engellemektir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.