Im React-Framework Next.js klafft eine kritische Sicherheitslücke. Sie erlaubt Angreifern, unter Umständen Autorisierungsprüfungen zu umgehen und so Web-Apps zu kompromittieren. Aktualisierte Pakete stehen bereit, die die Schwachstelle ausbessern.
Am Wochenende haben die Next.js-Entwickler von Vercel eine Sicherheitsmitteilung mit Informationen zur Lücke veröffentlicht. Demnach nutzt Next.js den internen Heaader x-middleware-subrequest, um dafür zu sorgen, dass rekursive Anfragen keine Endlosschleifen auslösen. Ein Sicherheitsbericht habe aufgezeigt, dass es möglich war, "Middleware" zu umgehen, wodurch Anfragen kritische Prüfungen wie einen Check des Autorisierung-Cookies überspringen und direkt "Routes" erreichen können (cve-2025-29927, CVSS 9.1, Risiko "kritisch").
Verwundbar sind selbst-gehostete Anwendungen, die "Middleware" nutzen. Die Next.js-Entwickler ergänzen hierzu: "next start" mit Ausgabe "standalone". Zudem ist betroffen, wer auf "Middleware" zur Authentifizierung oder für Sicherheitsprüfungen in der App setzt. Die gehosteten Versionen von Vercel, Netify oder Apps, die als statische Exports eingerichtet sind und "Middleware" nicht ausführen, sind hingegen nicht angreifbar.
Die Versionen Next.js 15.2.3, 14.2.5, 13.5.9 und 12.3.5 korrigieren die sicherheitsrelevanten Fehler. Sofern das Patchen auf eine sichere Version nicht möglich ist, sollen Admins Nutzeranfragen, die x-middleware-subrequest enthalten, daran hindern, die Next.js-App zu erreichen. Apps, die Cloudflare nutzen, können dazu etwa eine Managed Web-Application-Firewall-Regel (WAF) aktivieren, erörtern die Next.js-Entwickler.
Für den Upgrade-Prozess haben die Entwickler Anleitungen und Hinweise gesammelt, die IT-Verantwortliche dabei unterstützen sollen. Da die Schwachstelle als kritisches Risiko eingestuft wird, sollte die Aktualisierung zügig vorgenommen werden.
Lesen Sie auch
(
Kommentare