9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保护资源和敏感数据。
目前官方已发布安全更新,亚信安全CERT建议受影响的客户尽快升级至最新版本。
Next.js 是一个基于 React 的前端框架,兼顾服务端渲染(SSR)和静态站点生成(SSG)两种模式。它通过内置的路由系统和数据获取方式,让开发者更轻松地创建高性能、可扩展的单页或多页应用,同时提升网站的搜索引擎优化(SEO)效果。借助 Next.js,开发者可以在不改变 React 使用习惯的前提下,结合服务端渲染和静态导出等特性,快速构建复杂的 Web 应用程序。
漏洞编号、类型、等级和评分
-
CVE-2025-29927
-
授权绕过漏洞
-
紧急
-
CVSS3.0:9.1分
-
CVSS2.0:9.4分
漏洞状态
受影响版本
-
15.* <= Next.js <15.2.3
-
14.* <= Next.js <14.2.25
-
11.1.4 <= Next.js <= 13.5.6
产品解决方案
目前亚信安全怒狮引擎已第一时间新增了检测规则,支持CVE-2025-29927漏洞的检测,请及时更新TDA产品的特征库到最新版本。规则编号:106065313,规则名称:Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)。
更新方式如下:
TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新;
TDA产品离线升级PTN包下载链接如下:
详细下载地址请后台咨询
修复建议
官方已发布安全补丁通告,建议受影响的用户到官网下载补丁升级到最新版本。
•https://github.com/vercel/next.js/releases/tag/v15.2.3
参考链接
-
https://www.oscs1024.com/hd/MPS-74us-z9c5
-
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
-
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
-
https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
相关文章:
9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保护…...
处理json,将接口返回的数据转成list<T>,和几个时间处理方法的工具类
接口或者其他方式返回json格式,也可以直接处理里边只有list的json数据 //第一种json格式,包含分页信息 {"code": 200,"msg": null,"data": {"records": [{"风速": "0.0","电流"…...
OpenCV图像拼接(5)图像拼接模块的用于创建权重图函数createWeightMap()
操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C11 算法描述 cv::detail::createWeightMap 是 OpenCV 库中用于图像拼接模块的一个函数,主要用于创建权重图。这个权重图在图像拼接过程中扮演着重…...
linux 运行脚本命令区别
文章目录 chmod 赋予权限运行sh script.sh适用场景 bash script.shsource 或 . 脚本 chmod 赋予权限运行 chmod x script.sh # 赋予执行权限 ./script.sh # 直接执行创建新的子进程,不会影响当前 shell 的环境变量。#!(Shebang) 指…...
【01】噩梦终结flutter配安卓android鸿蒙harmonyOS 以及next调试环境配鸿蒙和ios真机调试环境-flutter项目安卓环境配置
噩梦终结:Flutter 配安卓、鸿蒙、iOS 真机调试环境 问题背景 很多开发者在配置 Flutter 项目环境时遇到困难,尤其是在处理 Android、鸿蒙和 iOS 真机调试环境时。卓伊凡最近接手了一个项目,发现很多“专业程序员”在环境搭建上花费了大量时…...
)
C++11QT复习 (六)
类型转换函数和类域 **Day6-3 类型转换函数和类域****1. 类型转换函数(Type Conversion Functions)****1.1 概述****1.2 代码示例****1.3 关键优化** **2. 类域(Class Scope)****2.1 作用域 vs 可见域****2.2 代码示例****2.3 关键…...
区块链技术在投票系统中的应用:安全、透明与去中心化
区块链技术在投票系统中的应用:安全、透明与去中心化 【引言】 近年来,电子投票系统因其便捷性受到广泛关注,但随之而来的安全问题也屡见不鲜,如选票篡改、重复投票、数据泄露等。如何确保投票的公平性、透明度和安全性? 区块链技术或许是解决方案之一! 区块链的 去中…...
CTF类题目复现总结-[MRCTF2020]ezmisc 1
一、题目地址 https://buuoj.cn/challenges#[MRCTF2020]ezmisc二、复现步骤 1、下载附件,得到一张图片; 2、利用010 Editor打开图片,提示CRC值校验错误,flag.png应该是宽和高被修改了,导致flag被隐藏掉;…...
MetInfo6.0.0目录遍历漏洞原理分析
所需进行代码审计的文件路径: C:\phpStudy\WWW\MetInfo6.0.0\include\thumb.php C:\phpStudy\WWW\MetInfo6.0.0\app\system\entrance.php C:\phpStudy\WWW\MetInfo6.0.0\app\system\include\class\load.class.php C:\phpStudy\WWW\MetInfo6.0.0\app\system\include…...
linux打包前端vue,后端springboot项目
第一步先对整个项目进行通过maven进行clean在进行compile 第二步直接进行打包package和install都可以 第三部把对应的jar放到服务器上 把jar包放到服务器上某个地址下,然后cd到这个目录下,然后执行命令 nohup java -jar ruoyi-admin.jar > springbo…...
Elasticsearch:使用 AI SDK 和 Elastic 构建 AI 代理
作者:来自 Elastic Carly Richmond 你是否经常听到 AI 代理(AI agents)这个词,但不太确定它们是什么,或者如何在 TypeScript(或 JavaScript)中构建一个?跟我一起深入了解 AI 代理的概…...
SQLAlchemy 支持特殊字符
postgresql 实践 pydantic 实践(一)基础 pydantic 实践(二)数据校验 SQLAlchemy 介绍与实践 SQLAlchemy 支持特殊字符 SQLAlchemy 支持特殊字符 1. 字符集介绍分析2. MySQL 支持特殊字符2.1. 更新 MySQL 字符集为 utf8mb42.2 更新…...
Docker 快速入门指南
Docker 快速入门指南 1. Docker 常用指令 Docker 是一个轻量级的容器化平台,可以帮助开发者快速构建、测试和部署应用程序。以下是一些常用的 Docker 命令。 1.1 镜像管理 # 搜索镜像 docker search <image_name># 拉取镜像 docker pull <image_name>…...
计算机网络 - OSI 七层模型
OSI 七层模型 OSI(Open System Interconnection,开放系统互联)模型由 ISO(国际标准化组织) 制定,目的是为不同计算机网络系统之间的通信提供一个标准化的框架。它将网络通信划分为 七个层次,每…...
如何调整yarn.nodemanager.vmem-pmem-ratio参数?
调整 yarn.nodemanager.vmem-pmem-ratio 参数的步骤如下: 1. 打开 YARN 配置文件 找到 yarn-site.xml 文件,该文件通常位于 Hadoop 配置目录中,例如 /etc/hadoop/conf 或 /opt/module/hadoop-3.1.3/etc/hadoop。 2. 找到并修改 yarn.nodemana…...
自顶向下学习K8S--部署Agones
本文在本人博客,原文地址:http://viogami.tech/index.php/blog/346/ 我是gopher,离不开云原生,自然也逃不了理解docker和K8S这俩。今天抽空想玩下agones,进而对K8S有实践性的理解。 学一个新事物从底层理论学肯定是最…...
unity中Xcharts图表鼠标悬浮表现异常
鼠标悬浮在面板附近,只显示单独的一个项目 而且无论鼠标如何移动,根本没有效果。 解决方案: 需要在对应的Canvas上绑定主相机才可以 鼠标移动到项目上就有信息展示了...
)
2025年最新自动化/控制保研夏令营预推免面试真题分享(东南大学苏州校区/华东理工/南航/天大)
笔者来2021级本科自动化专业,以下部分将介绍我在夏令营以及预推免期间发生经历和问题 东南大学苏州校区蒙纳士大学联培 东南大学苏州校区的项目算是一个比较小众的项目,是第一年在苏州校区,二三年到南京校区找导师(不提供住宿自…...
【Java SE】包装类 Byte、Short、Integer、Long、Character、Float、Double、Boolean
参考笔记:java 包装类 万字详解(通俗易懂)_java包装类-CSDN博客 目录 1.简介 2.包装类的继承关系图 3.装箱和拆箱 3.1 介绍 3.2 手动拆装箱 3.3. 自动拆装箱 4.关于String类型的转化问题 4.1 String类型和基本类型的相互转化 4.1.1 String —…...
口腔种植全流程AI导航系统及辅助诊疗与耗材智能化编程分析
一、系统架构与编程框架设计 口腔种植全流程人工智能导航系统的开发是一项高度复杂的多学科融合工程,其核心架构需在医学精准性、工程实时性与临床实用性之间实现平衡。系统设计以模块化分层架构为基础,结合高实时性数据流与多模态协同控制理念,覆盖从数据采集、智能决策到…...
小林coding-10道Java集合面试题
1.数组与集合区别,用过哪些?说说Java中的集合?Java中的线程安全的集合是什么?Collections和Collection的区别?集合遍历的方法有哪些? 2.List?讲一下java里面list的几种实现,几种实现有什么不同ÿ…...
Java 集合中ArrayList与LinkedList的性能比较
一、需求: 头部插入:向列表头部插入10万个整数。随机访问:从列表中间位置连续获取1万个元素。头部删除:从列表头部连续删除10万个元素。 二、 使用ArrayList与LinkedList测试 //常量定义,用于测试操作的次数…...
——前提)
SQL问题分析与诊断(8)——前提
8.1. 前提 与其他关系库类似,SQL Server中,当我们对存在性能问题的SQL语句进行分析和诊断时,除了获取该SQL语句本身外,还需要获取SQL语句相应的查询计划及其相关的数据环境。这里,所谓数据环境,具体是指SQ…...
漏洞发现:AWVS 联动 XRAY 图形化工具.(主动+被动 双重扫描)
漏洞发现:AWVS 联动 XRAY 图形化工具. 漏洞发现是网络安全领域的关键环节,指通过技术手段识别计算机系统、网络设备或软件中存在的设计缺陷、配置错误或代码漏洞的过程。这些漏洞可能被攻击者利用,导致数据泄露、服务中断或权限提升等风险。…...
上门家政小程序实战,从0到1解决方案
一、逻辑分析 上门家政小程序主要涉及用户端和服务端两大部分。用户端需要实现服务浏览、预约下单、订单跟踪等功能;服务端则要处理订单管理、服务人员管理、数据统计等任务。以下是详细的功能模块分析: 用户注册与登录:用户通过手机号或第三…...
Linux ping/telnet/nc命令
在Linux操作系统中,ping命令用于测试网络连接和发送数据包到目的主机。 然而,ping命令默认情况下只能测试IP地址和域名,而无法直接测试端口号。 ping www.baidu.comping 192.168.0.1 测试端口 如果你想测试特定端口是否开放并响应ÿ…...
Netty - 从Nginx 四层(TCP/UDP)流量中获取客户端真实/网络出口IP
文章目录 一、背景与原理1.1 问题场景网络架构影响分析1.1 客户端与Nginx之间存在的NAT/VPN1.2 Nginx与RPC服务之间的NAT 1.2 技术原理 二、环境配置验证2.1 Nginx配置2.2 版本要求 三、Netty服务端实现3.1 Pipeline配置(核心代码)3.2 协议处理器实现3.3…...
【持续集成和持续部署】
大致流程: 提交代码--拉取下来新代码并自动构建与部署--应用接口探活--执行自动化测试--输出自动化测试报告 一、持续集成(Continuous Integration,CI) 持续集成是一种软件开发实践,开发团队成员频繁地将代码集成到…...
Transformers中的BertConfig、BertModel详解
目录 一、功能 二、用法 1.导入BertConfig 2. 初始化默认配置 3.使用配置初始化模型 使用场景: 1.自定义小型BERT模型 2.加载预训练模型配置 从 Hugging Face 模型库加载 bert-base-uncased 的默认配置: 通过 BertConfig,你可以灵活定义…...
Ubuntu下载docker、xshell
配置:VMware虚拟机、Ubuntu24.04.1 首先打开vm启动虚拟机 下载docker Ubuntu启动之后,按CTRLALTT 打开终端 1.更新软件包索引并安装依赖 sudo apt-get updatesudo apt-get install \ca-certificates \curl \gnupg \lsb-release 2.添加docker官方的GP…...