Исследователи Akamai предупреждают о попадании критической уязвимости в фреймворке разработки приложений Next.js под прицел хакеров.
Первые попытки эксплуатации критически важной уязвимости в Next.js были зафиксированы менее чем через неделю после выпуска исправлений.
Речь идет о CVE-2025-29927 (CVSS 9,1), которая была публично раскрыта 21 марта, через неделю после того, как были выпущены исправления в версиях Next.js 15.2.3 и 14.2.25. Исправления также были включены в версии 13.5.9 и 12.3.5, которые появились на выходных.
Next.js использует промежуточное ПО для обработки HTTP-запросов, которое также отвечает за аутентификацию, авторизацию и установку заголовков безопасности, а внутренний заголовок x-middleware-subrequest используется для управления этими процессами и предотвращения бесконечных циклов.
Неправильная проверка внутреннего заголовка, имеющего предсказуемое значение, позволяет злоумышленнику отправлять специально созданные запросы, имитирующие заголовок, и обходить проверки аутентификации в приложении Next.js.
При обходе промежуточного ПО приложение не выполняет свои обычные процедуры безопасности, что приводит к потенциальному несанкционированному доступу к конфиденциальным или ограниченным частям приложения.
Хотя уязвимости подвержены лишь ряд версий Next.js, методы эксплуатации различаются в зависимости от версии.
По данным Rapid7, потенциальное влияние уязвимости зависит от приложения, конфигурации промежуточного ПО и цели приложения.
Как отмечают в Rapid7, организации следует рассмотреть, полагаются ли их приложения исключительно на промежуточное ПО для аутентификации.
Ведь, возможно, приложение использует промежуточное ПО, но действует как интерфейс для API бэкэнда, которые работают с логикой аутентификации на стороне сервера.
Обход промежуточного ПО Next.js фронтенда не повлияет на способность бэкэнда аутентифицировать пользователей.
Хотя ее исследователи утверждают, что им неизвестно о случаях эксплуатации уязвимости CVE-2025-29927 в реальных условиях, тем не менее в Akamai уже наблюдают, как злоумышленники сканят сеть на наличие серверов, затронутых этой ошибкой.
При этом фиксируемые атаки имитируют множество внутренних подзапросов в одном запросе, запускающих внутреннюю логику перенаправления Next.js, и очень cхожи c логикой PoC, который опубликовали (вместе с техническими подробностями) обнаружившие уязвимость исследователи.
Первые попытки эксплуатации критически важной уязвимости в Next.js были зафиксированы менее чем через неделю после выпуска исправлений.
Речь идет о CVE-2025-29927 (CVSS 9,1), которая была публично раскрыта 21 марта, через неделю после того, как были выпущены исправления в версиях Next.js 15.2.3 и 14.2.25. Исправления также были включены в версии 13.5.9 и 12.3.5, которые появились на выходных.
Next.js использует промежуточное ПО для обработки HTTP-запросов, которое также отвечает за аутентификацию, авторизацию и установку заголовков безопасности, а внутренний заголовок x-middleware-subrequest используется для управления этими процессами и предотвращения бесконечных циклов.
Неправильная проверка внутреннего заголовка, имеющего предсказуемое значение, позволяет злоумышленнику отправлять специально созданные запросы, имитирующие заголовок, и обходить проверки аутентификации в приложении Next.js.
При обходе промежуточного ПО приложение не выполняет свои обычные процедуры безопасности, что приводит к потенциальному несанкционированному доступу к конфиденциальным или ограниченным частям приложения.
Хотя уязвимости подвержены лишь ряд версий Next.js, методы эксплуатации различаются в зависимости от версии.
По данным Rapid7, потенциальное влияние уязвимости зависит от приложения, конфигурации промежуточного ПО и цели приложения.
Как отмечают в Rapid7, организации следует рассмотреть, полагаются ли их приложения исключительно на промежуточное ПО для аутентификации.
Ведь, возможно, приложение использует промежуточное ПО, но действует как интерфейс для API бэкэнда, которые работают с логикой аутентификации на стороне сервера.
Обход промежуточного ПО Next.js фронтенда не повлияет на способность бэкэнда аутентифицировать пользователей.
Хотя ее исследователи утверждают, что им неизвестно о случаях эксплуатации уязвимости CVE-2025-29927 в реальных условиях, тем не менее в Akamai уже наблюдают, как злоумышленники сканят сеть на наличие серверов, затронутых этой ошибкой.
При этом фиксируемые атаки имитируют множество внутренних подзапросов в одном запросе, запускающих внутреннюю логику перенаправления Next.js, и очень cхожи c логикой PoC, который опубликовали (вместе с техническими подробностями) обнаружившие уязвимость исследователи.
