یک آسیبپذیری حیاتی با شناسه CVE-2025-29927 و امتیاز CVSS 9.1 در چارچوب توسعه وب منبعباز Next.js React کشف شده است که میتواند به طور بالقوه و تحت شرایط خاص، جهت دور زدن بررسیهای مجوز مورد سوء استفاده قرار گیرد.
نقص مذکور نفوذگران را قادر میسازد تا بدون انجام بررسیهای امنیتی حیاتی مانند اعتبارسنجی کوکی مجوز، درخواستهایی را که به مسیرهای مقصد میرسند شامل هدر «x-middleware-subrequest» با مقدار صحیح ارسال کنند و در نتیجه مکانیسمهای حفاظتی را دور بزنند. این آسیبپذیری تمامی نسخههای Next.js قبل از 15.2.3، 14.2.25، 13.5.9. و 12.3.5 را تحتتاثیر قرار میدهد. همچنین فقط بر نسخههای خود میزبانی که از “next start” با “output: standalone” استفاده میکنند، تأثیر میگذارد و اپهای Next.js که در Vercel و Netlify میزبانی میشوند یا به عنوان خروجی ثابت مستقر شدهاند، تحت تأثیر قرار نمیگیرند. به کاربران توصیه شده است که در اسرع وقت به نسخههای جدیدتر ارتقا دهند. در صورت عدم امکان اعمال، توصیه شده است که کاربران از رسیدن درخواستهای کاربر خارجی که حاوی هدر x-middleware-subrequest هستند به برنامه Next.js جلوگیری و آن را مسدود کنند. گفتنی است که کد اکسپلویت POC در دسترس است.
https://www.bleepingcomputer.com/news/security/critical-flaw-in-nextjs-lets-hackers-bypass-authorization/
https://thehackernews.com/2025/03/critical-nextjs-vulnerability-allows.html
