Cảnh báo Lỗ hổng bỏ qua Middleware trong Next.js
Lỗ hổng nằm trong cách Next.js xử lý middleware, cho phép tin tặc bỏ qua middleware và từ đó bỏ qua bất kỳ logic bảo vệ nào được triển khai trong đó. Điều này có thể dẫn đến việc bỏ qua các cơ chế xác thực, ủy quyền, chính sách bảo mật (CSP)…
Kẻ tấn công có thể thực hiện điều này bằng cách thêm một header đặc biệt (x-middleware-subrequest) với một giá trị cụ thể vào các yêu cầu HTTP.
CVE lỗ hổng: CVE-2025-29927
Phiên bản/product bị ảnh hưởng: Tất cả các phiên bản Next.js từ 11.1.4 đến 15.2.2
Bản vá:
- Next.js 15.x: Bản vá có trong phiên bản 15.2.3
- Next.js 14.x: Bản vá có trong phiên bản 14.2.25
- Next.js các phiên bản từ 11.1.4 đến 13.5.6.
Giải pháp giảm thiểu rủi ro:
- Nếu cập nhật bản vá lên phiên bản an toàn nên ngăn các yêu cầu từ người dùng bên ngoài chứa header
x-middleware-subrequestđến ứng dụng Next.js. - Rà soát middleware: Rà soát lại cách sử dụng middleware trong ứng dụng Next.js để xác định bất kỳ khu vực nào có thể bị ảnh hưởng bởi lỗ hổng này.
Nguồn: VNISA
Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:
-
Điện toán đám mây.
-
Máy tính để bàn ảo VDI.
-
Lưu trữ dữ liệu Drive.
-
Quản lý dịch vụ công nghệ thông tin ITSM.
-
Mạng phân phối nội dung
-
Giám sát an toàn thông tin mạng.
-
Bảo vệ an toàn thông tin đầu cuối.
-
Sao lưu, phục hồi dữ liệu.
-
Diễn tập phòng chống tấn công mạng.
-
Kiểm tra, đánh giá an toàn thông tin mạng.
-
Đào tạo an toàn thông tin.
-
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin
Liên hệ dịch vụ:
- Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
- Email: sales@hissc.com.vn