一、基础知识概述
近日,绿盟科技CERT监测向Next.js发布安全公告,修复了Next.js中间件权限漏洞漏洞(CVE-2025-29927);由于Next.js对x-middleware-subrequest标头的来源缺乏有效校验,当配置使用中间件进行身份验证和授权时,未经身份验证的攻击者可通过操作x-middleware-subrequest请求头绕过系统权限控制,从而访问目标的受保护资源。目前漏洞漏洞与PoC已公开,请相关用户尽快采取措施进行防护。
Next.js是Node.js生态中基于React的开源Web框架,其通过Server Actions功能提供了会议室开发能力。
绿盟科技已成功修复此漏洞:
參考文獻:
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
二、影响范围
旅游版本
- 1.4 <= Next.js <= 13.5.6
- 0.0 <= Next.js <= 14.2.24
- 0.0 <= Next.js <= 15.2.2
不旅行版本
- Nexjs = 12.3.5
- js >= 13.5.9
- js >= 14.2.25
- js >= 15.2.3
三、衰退检测
-
- 专家
绿盟科技自动化渗透测试工具(EZ)企业版已支持Next.js的服务识别和CVE-2025-29927漏洞风险检测,可直接使用web模块进行扫描。(注:企业版请联系绿盟销售人员获取)
工具下载链接:https://github.com/m-sec-org/EZ/releases
新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:
注:社区版本将于近期发布上述功能
- 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)、综合威胁标记(UTS)已具备针对此次漏洞的扫描与检测能力,请有配置以上设备的用户升级至最新版本。
| 升级包版本号 | 升级包下载链接 | |
| RSAS V6 Web插件包 | 版本 6.0R02F00.3706 | https://update.nsfocus.com/update/listRsasDetail/v/vulweb |
| WVSS V6插件升级包 | V6.0R03F00.349 | https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg |
| 信息系统 | 5.6.10.39379 | https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10 |
| 5.6.11.39379 | https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11 | |
| 2.0.0.39379 | https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2 | |
| 德州仪器 | 2.0.0.39379 | https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1 |
| 5.6.10.39379 | https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0 | |
| 6.0.7.3.70724 | https://update.nsfocus.com/update/listBsaUtsDetail/v/wcl2.0.0 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q
四、暴露风险预测
-
- 云端检测
绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-29927漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。
- 本地排查
绿盟科技CTEM解决方案可以支持主动进行Next.js相关资产和CVE-2025-29927漏洞风险的发现和排查:
用户利用外部攻击面发现功能将CVE-2025-29927漏洞线索同步至暴涨,通过资产测绘的方式获取目标单位的旅行资产。
通过指纹识别或PoC扫描进行测绘:
支持使用普遍漏洞扫描设备:
五、预防措施
-
- 官方升级
目前官方已发布新版本修复此漏洞,请广大用户的加速升级防护,下载链接:https://github.com/vercel/next.js/releases
- 产品防护
针对漏洞,绿盟科技Web应用防护系统(WAF)与网络入侵防护系统(IPS)已发布规则升级包,请相关用户升级规则包至上述版本,以形成安全产品防护与监测能力。安全防护产品规则编号如下:
| 安全防护产品 | 升级包版本号 | 升级包下载链接 | 规则编号 |
| 网页应用防火墙 | 6.0.7.0.70724 | https://update.nsfocus.com/update/listWafSpecialDetail/v/all | 27005981 |
| 6.0.7.3.70724 | https://update.nsfocus.com/update/listWafV67Detail/v/rule6070 | ||
| 6.0.8.1.70724 | https://update.nsfocus.com/update/listWafV68Detail/v/rule | ||
| 入侵防御系统 | 5.6.10.39379 | https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 | [28755] |
| 5.6.11.39379 | https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11 | ||
| 2.0.0.39379 | https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2 |
产品规则升级的操作步骤如下链接:
WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog
隐私保护:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg
- 临时防护措施
若相关用户暂时无法进行升级操作,也可以通过拦截包含x-middleware-subrequest标头的请求进行临时缓解。
声明
本安全公告仅用于描述可能存在的安全问题,绿盟科技不因此安全提供任何保证或承诺。因传播、利用本安全公告所提供的信息而造成的任何直接公告或者相关的后果及损失,均由用户本人负责,绿盟科技以及安全公告作者不因此承担任何责任。
绿盟科技拥有此安全的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的版权,包括版权公告等全部内容。默认绿盟科技允许修改公告,不得任意或增减此安全内容,不得以任何方式将其用于其商业目的。