9.4分漏洞！Next.js Middleware鉴权绕过漏洞安全风险通告

今日，亚信安全CERT监控到安全社区研究人员发布安全通告，Next.js 存在一个授权绕过漏洞，编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制，从而在未授权的情况下访问受保护资源和敏感数据。

目前官方已发布安全更新，亚信安全CERT建议受影响的客户尽快升级至最新版本。

Next.js 是一个基于 React 的前端框架，兼顾服务端渲染（SSR）和静态站点生成（SSG）两种模式。它通过内置的路由系统和数据获取方式，让开发者更轻松地创建高性能、可扩展的单页或多页应用，同时提升网站的搜索引擎优化（SEO）效果。借助 Next.js，开发者可以在不改变 React 使用习惯的前提下，结合服务端渲染和静态导出等特性，快速构建复杂的 Web 应用程序。

漏洞编号、类型、等级和评分

• CVE-2025-29927

• 授权绕过漏洞

• 紧急

• CVSS3.0：9.1分

• CVSS2.0：9.4分

漏洞状态

受影响版本

• 15.* <= Next.js <15.2.3

• 14.* <= Next.js <14.2.25

• 11.1.4 <= Next.js <= 13.5.6

产品解决方案

目前亚信安全怒狮引擎已第一时间新增了检测规则，支持CVE-2025-29927漏洞的检测，请及时更新TDA产品的特征库到最新版本。规则编号：106065313，规则名称：Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)。

更新方式如下：

TDA产品在线更新方法：登录系统-》系统管理-》系统升级-》特征码更新；

TDA产品离线升级PTN包下载链接如下：

详细下载地址请后台咨询

修复建议

官方已发布安全补丁通告，建议受影响的用户到官网下载补丁升级到最新版本。

•https://github.com/vercel/next.js/releases/tag/v15.2.3

参考链接

• https://www.oscs1024.com/hd/MPS-74us-z9c5

• https://nvd.nist.gov/vuln/detail/CVE-2025-29927

• https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

• https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2

本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性，但在互联网环境中，文件下载仍存在潜在风险。为保障您的设备安全与数据隐私，敬请您在点击下载前谨慎核实其安全性和可信度。