英國國家網路安全中心(NCSC)呼籲使用者立即修補一個開源網頁開發框架的重大資安漏洞。
NCSC 發布公告警告熱門的 Next.js 框架出現授權繞過漏洞。Next.js 是基於 React 的全端網頁應用程式開發框架,廣受全球開發者歡迎。NCSC 指出,
攻擊者可藉此弱點發送外部請求並使系統誤判為內部請求,進而繞過授權檢查機制,取得未經授權的敏感資料存取權限。目前已有概念驗證攻擊程式(PoC)在網路上流傳。
此漏洞(
CVE-2025-29927)在今年二月被私下回報給開發團隊,隨後 Next.js 維護者於 3 月 22 日完成修補。
官方解釋,Next.js 使用內部請求標頭 "x-middleware-subrequest" 來防止遞迴請求產生無限迴圈。根據安全報告指出,攻擊者可能會繞過中介軟體(middleware)的執行,使請求跳過重要的檢查機制(如授權 Cookie 驗證),直接存取路由。
此漏洞影響以下版本:
- 13.x 版本:13.5.9 以下
- 14.x 版本:14.2.25 以下
- 15.x 版本:15.2.3 以下
- 11.1.4 至 12.3.5(不含)之所有版本
NCSC 指出,若無法立即更新至修補後的版本,開發商建議可先封鎖含有 "x-middleware-subrequest" 標頭的外部使用者請求,以保護 Next.js 應用程式。
這是暫時性的因應措施,直到系統能更新至最新版本為止。該機構也呼籲組織持續監控系統紀錄,以偵測可能的攻擊行為。
資安公司 Rapid7 指出,由於此 CVE 漏洞是影響應用程式框架,且各系統的中介軟體配置不盡相同,因此實際影響程度將因系統而異。該公司建議組織應評估其應用程式是否完全仰賴中介軟體進行身分驗證。部分應用程式可能只在前端介面使用中介軟體,而實際的身分驗證邏輯是在後端 API 執行。在此情況下,即便攻擊者成功繞過 Next.js 前端中介軟體,也無法影響後端系統的使用者身分驗證功能。
本文轉載自 InfosecurityMagazine。