Una vulnerabilità critica nel prossimo framework di sviluppo web.js potrebbe consentire agli hacker di aggirare i controlli di autorizzazione. Tracciato come CVE-2025-29927il difetto consente agli aggressori di inviare richieste direttamente ai percorsi di destinazione, saltando protocolli di sicurezza cruciali.
Next.js, un quadro di reazione ampiamente utilizzato con oltre 9 milioni di settimanali Download NPMè favorito dagli sviluppatori per la costruzione di applicazioni Web full-stack. Aziende come Tiktok, Twitch, Hulu, Netflix, Uber e Nike usano il framework per i loro siti e app.
I componenti del middleware in Next.js gestiscono attività come autenticazione, autorizzazione, registrazione e reindirizzamento degli utenti prima che una richiesta raggiunga il sistema di routing dell’applicazione. Per evitare i loop infiniti, Next.js impiega un’intestazione “X-Middleware-Subrequest”, che determina se le funzioni del middleware debbano essere applicate.
La funzione “Runmiddleware” controlla questa intestazione. Se rilevato con un valore specifico, bypassa l’intera esecuzione del middleware, inoltrando la richiesta direttamente alla sua destinazione. Un utente malintenzionato può sfruttarlo inviando manualmente una richiesta con il valore di intestazione corretto.
Ricercatori Allam Rachid e Allam Yasser (inzo_), che ha identificato il vulnerabilitàha dichiarato che “l’intestazione e il suo valore fungono da chiave universale che consente di ignorare le regole”.
Il problema della sicurezza influisce su tutte le versioni successive.js prima del 15.2.3, 14.2.25, 13.5.9 e 12.3.5. Gli utenti dovrebbero aggiornare immediatamente, poiché i dettagli tecnici per lo sfruttamento della vulnerabilità sono ora pubblici.
Bollettino di sicurezza di Next.js Specifica Quella CVE-2025-29927 influisce solo sulle versioni autosuvate usando “Avviamento successivo” con “Output: Standalone”. Le app ospitate su Vercel e Netlify, o quelle distribuite come esportazioni statiche, non sono influenzate.
Gli ambienti in cui il middleware è utilizzato per l’autorizzazione o i controlli di sicurezza senza la successiva convalida nell’applicazione sono a rischio.
Se il patching non è immediatamente fattibile, il corso d’azione suggerito è quello di bloccare eventuali richieste utente esterne che includono l’intestazione “X-Middleware-Subrequest”.
