信息安全 来源:AGI安全 2025-03-25 14:46:58 阅读:249
Next.js 是一款流行的 React 框架,可帮助开发人员快速高效地构建全栈 Web 应用程序,它最近披露了一个关键的授权绕过漏洞,需要开发人员立即关注。
漏洞编号为 CVE-2025-29927 , CVSS 评分为 9.1
如果授权检查发生在中间件中,则有可能绕过 Next.js 应用程序中的授权检查。这意味着恶意行为者可能会在依赖中间件进行身份验证和授权的应用程序中未经授权访问受保护的资源和功能。
Next.js 中的中间件在请求到达应用程序路由之前拦截和处理请求方面起着至关重要的作用。在中间件中实现授权逻辑是一种常见做法,以确保只有经过身份验证和授权的用户才能访问应用程序的特定部分。新发现的漏洞允许攻击者绕过这些检查,可能导致数据泄露、未经授权的操作和服务中断等严重后果。
Next.js 团队已发布修补版本,迅速解决了 CVE-2025-29927 问题。
对于 Next.js 15.x,此问题已在 15.2.3 中修复
对于 Next.js 14.x,此问题已在 14.2.25 中修复
如果您的项目使用其中一个主要版本,则升级到指定的补丁级别是缓解此漏洞的最重要步骤。
对于仍在运行旧版本 Next.js(特别是 Next.js 版本 11.1.4 至 13.5.6)的用户,如果无法修补到安全版本,临时解决方案如下:我们建议阻止包含 x-middleware-subrequest 标头的外部用户请求到达 Next.js 应用程序,但是这种解决方法可能会对某些应用程序功能产生影响,而全面升级到修补版本仍应是最终目标。
Strapi 是一个开源且高度可定制的 CMS。传统建网站,内容和页面样式绑得死死的,改起来很麻烦。Strapi 不一样!它只管存储和管理你的文字、图片、视频等内容本身,不限制你怎么把它们显示出来。你
Dioxus项目的诞生源于开发者们对于更高效、更灵活的跨平台UI解决方案的渴望。随着技术的发展,用户对于应用的需求不再局限于单一的操作系统或设备类型,而是希望能够在不同的平台上获得无缝衔接的体验。然而
电话:188-8877-1003
邮箱:Sales@knowsafe.com
地址:四川省成都市高新南区天府大道北段1700号
时间:周一到周日: 早9点 – 晚21点