Один заголовок — и ты внутри: Next.js больше не отличает своих от чужих

В приложениях на базе Next.js обнаружена критическая уязвимость , позволяющая обойти проверку авторизации. Проблема затрагивает версии с 11.1.4 по 13.5.6, а также ранние релизы веток 14.x и 15.x.

Уязвимость CVE-2025-29927 (оценка CVSS: 9.1) связана с неправильной обработкой заголовков x-middleware-subrequest внутри middleware. Если авторизация реализована на этом уровне, злоумышленник может передать специально сформированный запрос и таким образом обойти все проверки доступа.

Эксплуатация уязвимости не требует привилегий, взаимодействия с пользователем или сложных манипуляций. Атака осуществляется удалённо, по сети, и потенциально может привести к утечке конфиденциальных данных и нарушению целостности системы.

Ошибка устранена в версии 15.2.3. Ветку 14 защитили обновлением 14.2.25. Для более ранних версий, включая всё между 11.1.4 и 13.5.6, исправлений не выпущено, и рекомендован обходной путь — блокировать внешние HTTP-запросы, содержащие заголовок x-middleware-subrequest, на уровне прокси или брандмауэра.

Приложения, развернутые через Vercel, не подвержены данной проблеме из-за особенностей платформы. Всем остальным пользователям предлагается немедленно принять меры по устранению риска, в том числе обновиться до безопасной версии или реализовать фильтрацию вредоносных запросов.

Уязвимость классифицирована как ошибка управления доступом ( CWE-285 ). Она затрагивает целостность и конфиденциальность системы, хотя не влияет на её доступность. Несмотря на отсутствие прямого вектора отказа в обслуживании (DoS), угроза доступа к защищённым ресурсам делает уязвимость критически важной.