Scroll untuk baca artikel
Networking

Cacat kritis di Next.js memungkinkan peretas bypass otorisasi

78
×

Cacat kritis di Next.js memungkinkan peretas bypass otorisasi

Share this article
cacat-kritis-di-next.js-memungkinkan-peretas-bypass-otorisasi
Cacat kritis di Next.js memungkinkan peretas bypass otorisasi

Cacat kritis di Next.js memungkinkan peretas bypass otorisasi

Kerentanan keparahan kritis telah ditemukan di kerangka pengembangan web open-source berikutnya, berpotensi memungkinkan penyerang untuk memotong pemeriksaan otorisasi.

Example 300x600

Cacat, dilacak sebagai CVE-2025-29927memungkinkan penyerang untuk mengirim permintaan yang mencapai jalur tujuan tanpa melalui pemeriksaan keamanan kritis.

Next.js adalah kerangka kerja reaksi populer dengan lebih dari 9 juta unduhan mingguan Dia. Ini digunakan untuk membangun aplikasi web full-stack dan termasuk komponen middleware untuk otentikasi dan otorisasi.

Pengembang front-end dan full-stack menggunakannya untuk membangun aplikasi web dengan React. Beberapa perusahaan yang lebih terkenal yang menggunakannya untuk situs/aplikasi mereka adalah Tiktok, Twitch, Hulu, Netflix, Uber, dan Nike.

Bypass otorisasi

Di Next.js, komponen middleware berjalan sebelum permintaan mengenai sistem perutean aplikasi dan melayani tujuan seperti otentikasi, otorisasi, penebangan, penanganan kesalahan, mengarahkan kembali pengguna, menerapkan batasan geo atau batas tingkat.

Untuk mencegah loop tak terbatas di mana middleware memicu kembali itu sendiri, Next.js menggunakan header yang disebut ‘X-middleware-Subrequest’ yang menentukan jika fungsi middleware harus diterapkan atau tidak.

Header diambil oleh fungsi ‘runmiddleware’ yang bertanggung jawab untuk memproses permintaan yang masuk. Jika mendeteksi header ‘X-Middleware-Subrequest’, dengan nilai tertentu, seluruh rantai eksekusi middleware dilewati dan permintaan diteruskan ke tujuannya.

Penyerang dapat secara manual mengirim permintaan yang mencakup header dengan nilai yang benar dan dengan demikian memotong mekanisme perlindungan.

Menurut para peneliti Allam Rachid dan Allam Yasser (INZO_), yang menemukan kerentanan dan menerbitkan a penulisan teknis“Header dan nilainya bertindak sebagai kunci universal yang memungkinkan aturan untuk ditimpa.”

Kerentanan berdampak pada semua versi Next.js sebelum 15.2.3, 14.2.25, 13.5.9. dan 12.3.5. Pengguna disarankan untuk meningkatkan ke revisi yang lebih baru sesegera mungkin, karena detail teknis untuk mengeksploitasi masalah keamanan bersifat publik.

Next.js ‘ Buletin Keamanan Mengklarifikasi bahwa CVE-2025-29927 hanya berdampak pada versi yang di-hosting sendiri yang menggunakan ‘start berikutnya’ dengan ‘output: mandiri’. Aplikasi aplikasi selanjutnya.

Juga terpengaruh adalah lingkungan di mana middleware digunakan untuk otorisasi atau pemeriksaan keamanan dan tidak ada validasi nanti dalam aplikasi.

Jika penambalan tidak dimungkinkan pada saat itu, rekomendasinya adalah untuk memblokir permintaan pengguna eksternal yang menyertakan ‘header subrequest X-middleware’.