Критическая уязвимость безопасности в Next.js может создать серьезные проблемы для пользователей JavaScript

Исследователи обнаружили критическую уязвимость в Next.js

Если проверки подлинности происходят в middleware, их можно обойти в старых версиях. Существует исправление и временная обходная мера, поэтому обновляйтесь сейчас. Эксперты предупредили о серьезной ошибке в open source фреймворке разработки веб-приложений Next.js, которая позволяет злоумышленникам обойти проверки подлинности.

Исследователь безопасности Rachid.A из Zhero Web Security опубликовал подробный анализ выявленных проблем, присвоив уязвимости CVE-2025-29927 и присвоив ей уровень серьезности 9.1/10 (критичный). До версий 14.2.25 и 15.2.3 было возможно обойти проверки подлинности в Next.js, если они происходили в middleware.

Next.js - это популярный фреймворк React для создания веб-приложений, который предлагает такие функции, как рендеринг на стороне сервера (SSR), генерация статических сайтов (SSG) и API-маршруты. Он широко используется для создания SEO-дружественных и высокопроизводительных веб-сайтов, включая платформы электронной коммерции и панели управления. Next.js поддерживается Vercel и используется такими крупными компаниями, как Netflix, TikTok и GitHub, что делает его одним из наиболее используемых фреймворков для современной веб-разработки. Количество еженедельных загрузок Next.js на npm превышает 9 миллионов.

Middleware в Next.js - это функция, которая выполняется до завершения запроса, позволяя разработчикам изменять запросы и ответы, обрабатывать аутентификацию или реализовывать перенаправления. Функция полезна для таких задач, как аутентификация пользователей, A/B-тестирование и локализация без влияния на скорость загрузки страницы.

Также было заявлено, что только версии с собственным хостингом, использующие 'next start' с 'output:standalone'. Приложения, размещенные на Vercel или Netlify, или развернутые в виде статических экспортов, не затронуты. Идеально было бы обновить до указанных выше версий, чтобы устранить любые шансы на эксплуатацию уязвимости. Однако тем, кто не может быстро применить исправление, рекомендуется предотвратить доступ внешних пользовательских запросов, содержащих заголовок x-middleware-subrequest, к приложению Next.js.

“Эта уязвимость существовала в исходном коде next.js в течение нескольких лет, эволюционируя вместе с middleware и его изменениями в версиях”, - заключил исследователь, прежде чем подчеркнуть, что Next.js “широко используется во всех критических секторах, от банковских услуг до блокчейна”.