React框架Next.js出现严重安全漏洞

Next.js 是一款流行的 React 框架,可帮助开发人员快速高效地构建全栈 Web 应用程序,它最近披露了一个关键的授权绕过漏洞,需要开发人员立即关注。
漏洞编号为 CVE-2025-29927 , CVSS 评分为 9.1
如果授权检查发生在中间件中,则有可能绕过 Next.js 应用程序中的授权检查。这意味着恶意行为者可能会在依赖中间件进行身份验证和授权的应用程序中未经授权访问受保护的资源和功能。
Next.js 中的中间件在请求到达应用程序路由之前拦截和处理请求方面起着至关重要的作用。在中间件中实现授权逻辑是一种常见做法,以确保只有经过身份验证和授权的用户才能访问应用程序的特定部分。新发现的漏洞允许攻击者绕过这些检查,可能导致数据泄露、未经授权的操作和服务中断等严重后果。
Next.js 团队已发布修补版本,迅速解决了 CVE-2025-29927 问题。
对于 Next.js 15.x,此问题已在 15.2.3 中修复
对于 Next.js 14.x,此问题已在 14.2.25 中修复
如果您的项目使用其中一个主要版本,则升级到指定的补丁级别是缓解此漏洞的最重要步骤。
对于仍在运行旧版本 Next.js(特别是 Next.js 版本 11.1.4 至 13.5.6)的用户,如果无法修补到安全版本,临时解决方案如下:我们建议阻止包含 x-middleware-subrequest 标头的外部用户请求到达 Next.js 应用程序,但是这种解决方法可能会对某些应用程序功能产生影响,而全面升级到修补版本仍应是最终目标。
-
Dioxus基于Rust适用于 Web、桌面、移动设备等的全栈应用程序框架
Dioxus项目的诞生源于开发者们对于更高效、更灵活的跨平台UI解决方案的渴望。随着技术的发展,用户对于应用的需求不再局限于单一的操作系统或设备类型,而是希望能够在不同的平台上获得无缝衔接的体验。然而
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 微信公众号能发声了:可生成作者音色 朗读全文
- 二进制系列之Pwn篇-组合购买更有性价比
- 惠普数据科学大赛已上线,十万元奖金等你拿!
- 新课首发!Windows内核漏洞分析与EXP编写技巧(文末抽奖)
- 2022腾讯游戏安全初赛一题解析
- 首个体系课重磅上线!从安全小白到主力Web选手就这么简单~
- 看雪·众安 2021 KCTF 秋季赛 | 第五题设计思路及解析
- 联接+,新增长 | 2021全球超宽带高峰论坛,倒计时1天!
- 雷军哽咽:我愿押上人生全部声誉,为小米汽车而战!
- 诸子云|话题:如何应对供应链攻击?怎样落实数据存储加密?如何解密https做流量分析?
- 技术沙龙|赋能企业数字化转型,移动云云原生应用架构实践
- 免费SSL证书与付费SSL证书的区别是什么?