NextJS 超瓜皮漏洞，赶紧升级！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

Downloading @next/swc-darwin-arm64@15.2.3: 41.23 MB/41.23 MB, done

dependencies:
- next 15.1.0
+ next 15.2.3

Done in 4m 38.6s

NextJS auth middware 漏洞

漏洞概述

漏洞编号：CVE-2025-29927 / GHSA-f82v-jwr5-mffw 漏洞类型：授权绕过（ CWE-285 ）严重级别：严重（ Critical ） CVSS 评分：9.1/10.0 影响版本：

11.1.4 至 13.5.6 14.0 至 14.2.24 15.0 至 15.2.2

漏洞简述

此漏洞允许攻击者通过添加特定 HTTP 请求头（ x-middleware-subrequest ）完全绕过在 Next.js 中间件中实现的授权检查，从而获取对受保护资源的未授权访问。由于许多 Next.js 应用仅在中间件层实现授权逻辑，这使得该漏洞的影响范围极广且危害严重。

虽然 Vercel 修了但是没有完全修，self host 的 nextjs 用户还是会遇到问题

Cloudflare 和 Vercel CEO 直接推特中门互狙。。。

第 1 条附言 · 1 天前

https://x.com/rauchg/status/1903590962498326771?s=61&t=PoJ63zAD8k5TrEupUPPQrw

中门对狙现场

nextjs

漏洞

升级

21 条回复 • 2025-03-26 18:23:21 +08:00

xavierchow

2 天前

升级是一方面，另一方面也是个提醒，健壮的 app 应该避免只在一个 layer 做认证和安全保护
https://strobes.co/blog/understanding-next-js-vulnerability/#Key_Security_Lessons_From_Nextjs_Vulnerability

lizhenda

2 天前

牛批啊 ...

ragnaroks

1 天前

nextjs 的 middleware 设计真的文明用语，第一次见只能有一个 middleware 的框架

flyqie

1 天前 via Android

https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

看了下漏洞分析...确实瓜皮

cat

1 天前

@ragnaroks 而且是只为 edge runtime 设计的 middleware ，就离谱，github 上有几个 pr 和 discussions 吵这事

guhuisec

1 天前

吓死人

NessajCN

1 天前

看来我最初的预感是正确的
最开始用 nextjs 我就觉得这 middleware 不靠谱
最后还是把 auth 步骤都放到 layout 里
麻烦是麻烦了点，每个 path 都要写一遍同样的 auth 逻辑，
但把 cookie 都自己处理了就不必担心这种漏洞了

qweruiop

1 天前

twitter 都炸开了。。。也是醉了。。。

Xheldon

1 天前

没记错的话 middleware 中的 req/res 和别的接口 req/res 对象还有差异，我是懒得看文档了解什么差异了（毕竟 server 端的 req/res 和客户端的 req/res 也有差异我也懒得看。。。），然后鉴权写到单独的文件里面在各个接口都引了一遍。。。完美规避问题[doge]

kk2syc

1 天前

@ragnaroks 我倒是觉得这个设计很不错，模块化中间件，强制使用单个中间件文件，简化配置、防止潜在冲突、优化性能

[官方文档]
Note: While only one middleware.ts file is supported per project, you can still organize your middleware logic modularly. Break out middleware functionalities into separate .ts or .js files and import them into your main middleware.ts file. This allows for cleaner management of route-specific middleware, aggregated in the middleware.ts for centralized control. By enforcing a single middleware file, it simplifies configuration, prevents potential conflicts, and optimizes performance by avoiding multiple middleware layers.