Next.js ist ein bekanntes React-Framework für die Entwicklung von Full-Stack-Webanwendungen, das aufgrund seiner Funktionen für serverseitiges Rendering und die Generierung statischer Websites weit verbreitet ist. Das Middleware-Konzept in Next.js ermöglicht es Entwicklern, Code auszuführen, bevor eine Anfrage abgeschlossen wird, was Funktionen wie Authentifizierung und Autorisierung ermöglicht. Es wurde eine kritische Sicherheitslücke in Next.js-Versionen vor 14.2.25 und 15.2.3 identifiziert, die es Angreifern ermöglichen könnte, die in der Middleware implementierten Autorisierungskontrollen zu umgehen, was potenziell den unbefugten Zugriff auf sensible Ressourcen ermöglicht.

Produkt	Next.js
Datum	24.03.2025 11:03:35
Informationen	Fix verfügbar

Technische Zusammenfassung

Die als CVE-2025-29927 identifizierte Schwachstelle resultiert aus einer fehlerhaften Handhabung des internen Headers x-middleware-subrequest. Next.js verwendet diesen Header, um zu verhindern, dass rekursive Anfragen Endlosschleifen auslösen. Ein Angreifer kann diesen Mechanismus jedoch ausnutzen, indem er Anfragen erstellt, die den Header x-middleware-subrequest enthalten, wodurch die Ausführung der Middleware effektiv übersprungen wird. Diese Umgehung kann zu unbefugten Zugriffen auf geschützte Routen und Ressourcen innerhalb einer Next.js-Anwendung führen.

Empfehlungen

Um die mit CVE-2025-29927 verbundenen Risiken zu mindern, ist es wichtig, die folgenden Maßnahmen zu ergreifen:

1. Next.js aktualisieren: Aktualisieren Sie Ihre Next.js-Anwendung auf die korrigierten Versionen:

• Für Next.js 15.x: Aktualisieren auf Version 15.2.3.
• Für Next.js 14.x: Aktualisieren auf Version 14.2.25.
• Für Next.js 13.x: Aktualisieren auf Version 13.5.9.
• Für Next.js 12.x: Aktualisieren auf Version 12.3.5.

1. Anfragefilter implementieren: Wenn ein sofortiges Update nicht möglich ist, konfigurieren Sie die Anwendung oder den Reverse-Proxy so, dass externe Anfragen blockiert werden, die den Header x-middleware-subrequest enthalten. Diese Maßnahme kann Versuche zur unbefugten Umgehung der Middleware verhindern.

2. WAF-Regeln bereitstellen: Nutzen Sie Web Application Firewall (WAF)-Lösungen, um Anfragen zu erkennen und zu blockieren, die versuchen, diese Schwachstelle auszunutzen. Cloudflare hat beispielsweise eine verwaltete WAF-Regel zum Schutz vor CVE-2025-29927 veröffentlicht.

3. Autorisierungslogik überprüfen: Stellen Sie sicher, dass kritische Autorisierungskontrollen nicht ausschließlich auf der Middleware basieren. Implementieren Sie redundante Prüfungen auf Routen- oder Controllerebene, um die Sicherheit zu erhöhen.

4. Logs überwachen und prüfen: Analysieren Sie regelmäßig die Server-Logs auf ungewöhnliche Zugriffsmuster oder Versuche unbefugter Zugriffe, insbesondere solche, die den Header x-middleware-subrequest betreffen.

[Callforaction-THREAT-Footer]