摘要：Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 CVSS 评分为 9.1（满分 10.0）。

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可利用该漏洞绕过授权检查，未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927，其 CVSS 评分为 9.1（满分 10.0）。

Next.js 是一个全栈框架，通过帮助处理页面渲染、路由、性能优化和 SEO 优化等，使构建和发布 Web 应用变得更加容易。Next.js 基于 React 构建，React 是一个用于从独立、可重用的组件构建 Web 用户界面的 JavaScript 库，两者结合可快速构建生产就绪的全栈应用。

Next.js 使用自己的中间件来处理请求、保护路由、向响应添加安全标头，并处理用户身份验证和用户重定向（例如基于地理位置、会话/授权 cookie 等）。CVE-2025-29927 漏洞允许攻击者通过向目标应用程序发送带有特制_x-middleware-subrequest标头的请求来绕过中间件安全控制。

发现该漏洞的安全研究人员 Rachid Allam 和 Yasser Allam 解释道：“如果我们在请求中添加带有正确值的_x-middleware-subrequest标头，无论中间件的用途是什么，它都将被完全忽略，请求将通过NextResponse.next转发，并在中间件没有任何影响的情况下完成其到达原始目的地的旅程。该标头及其值充当了允许覆盖规则的万能钥匙。”

他们私下向 Vercel 报告了该漏洞，Vercel 的开发人员于 2025 年 3 月 14 日推出了临时补丁，几天后开始发布 Next.js 框架各个分支的新修复版本。

Next.js 被包括 Twitch、Spotify、Binance、Hulu、TikTok、OpenAI 等在内的众多企业广泛使用。

根据 Next.js 维护者的说法，该漏洞影响使用中间件的自托管 Next.js 应用程序，尤其是那些仅依赖中间件进行身份验证或安全检查的应用程序。托管在 Vercel 和 Netlify 云平台上的应用程序不受影响，部署为静态导出的应用程序也不受影响（因为中间件未执行）。

该漏洞已在版本 12.3.5、13.5.9、14.2.25 和 15.2.3 中修复。如果无法立即升级，建议用户阻止包含x-middleware-subrequest标头的外部用户请求访问 Next.js 应用程序。

来源：FreeBuf