在 Next.js 这个开源的 Web 开发结构中，发现了一个严峻缝隙，攻击者有或许借此绕过授权查看。

  该缝隙编号为 CVE-2025-29927，攻击者运用此缝隙，无需经过要害的安全查看，就能发送恳求并抵达方针途径。

  Next.js 是一个广受欢迎的 React 结构，在 npm 上，每周的下载量超越 900 万次。它被用于构建全栈 Web 运用程序，其间包括用于身份验证和授权的中间件组件。前端和全栈研制人员凭借它，经过 React 构建 Web 运用程序。一些闻名公司，如 TikTok、Twitch、Hulu、Netflix、Uber 和 Nike 等，都在其网站或运用程序中运用了 Next.js。

  在 Next.js 中，中间件组件会在恳求抵达运用程序路由体系之前运转，其效果包括身份验证、授权、日志记载、错误处理、重定向用户、施行地舆封闭或速率约束等。

  为防止中间件本身堕入无限循环的从头触发，Next.js 采用了一个名为 “x-middleware-subrequest” 的标头，以此指示是否应运用中间件功用。负责处理传入恳求的 “runMiddleware” 函数会检索该标头。

  一旦检测到 “x-middleware-subrequest” 标头具有特定值，整个中间件履行链就会被绕过，恳求会被直接转发到目的地。

  攻击者可以手动发送包括正确值标头的恳求，从而绕过维护机制。据发现此缝隙并宣布技术文章的研究人员 Allam Rachid 和 Allam Yasser (inzo_) 称，“该标头及其值就像一把通用钥匙，可以掩盖规矩。”

  该缝隙影响一切早于 15.2.3、14.2.25、13.5.9 和 12.3.5 的 Next.js 版别。鉴于运用此安全问题的技术细节已揭露，主张用户赶快升级到较新版别。

  Next.js 的安全公告准确指出，CVE-2025-29927 仅影响正常运用 “next start” 和 “output: standalone” 的自保管版别。保管在 Vercel 和 Nerlify 上，或许布置为静态导出的 Next.js 运用则不受影响。相同受影响的，还有那些运用中间件进行授权或安全查看，且在运用程序后期没有验证的环境。

上一篇：东方通：中间件产品已应用于阿里云等云核算厂商 中间件产品已成为云厂商PaaS层重要组成部分 下一篇：我国AI范畴最高奖同济+1