logo

Приєднуйтесь до нас

Новини 24/03/2025

У фреймворку Next.js знайшли критичну вразливість

Дмитро Сімагін

Журналіст

У Next.js, популярному React-фреймворку, який використовується для розробки веб-додатків, виявлено серйозну вразливість, яка отримала кодову назву CVE-2025-29927. Про це повідомляє GBHackers.

Критична помилка дозволяє зловмисникам обходити засоби контролю безпеки, створюючи значні ризики для авторизації. Проблема стосується версій:

  • Next.js 11.x 11.1.4 і новіші версії (без виправлень)
  • Next.js 12.x невиправлені версії
  • Next.js 13.x 13.5.6 і раніше (без виправлень)
  • Next.js 14.x до 14.02.25
  • Next.js 15.x до 15.2.3

Вразливість пов’язана з тим, як фреймворк обробляє заголовок x-middleware-subrequest. Він створений в якості внутрішнього механізму захисту від нескінченної рекурсії, але зловмисник може додати цей заголовок у звичайний запит і тим самим відключити middleware повністю.

У підсумку це дозволяє отримати доступ до захищених маршрутів – наприклад, /dashboard/admin – навіть без авторизації.

Спецпроєкти
Ефективний моніторинг сучасного PHP-застосунку. Як тут працюють системи спостереження Observability?
Ефективний моніторинг сучасного PHP-застосунку. Як тут працюють системи спостереження Observability?
Що вмітиме український ChatGPT та якою буде ІТ-освіта. Підсумки Tech360 у Києві
Що вмітиме український ChatGPT та якою буде ІТ-освіта. Підсумки Tech360 у Києві

За наявності заголовка x-middleware-subrequest з потрібним значенням Next.js пропускає виконання middleware та передає запит. Приклад:

X-Middleware-Subrequest: middleware: middleware: middleware

 

Перевірка виконується до будь-яких інших обмежень, включаючи глибину рекурсії та логіку автентифікації. У підсумку авторизаційні механізми повністю ігноруються.

Експлуатація вразливості дозволяє:

Спецпроєкти
Крихкі зони: як виявляти їх вчасно. Досвід FAVBET Tech
Крихкі зони: як виявляти їх вчасно. Досвід FAVBET Tech
Хмарна vs локальна: як обрати ідеальну СRM і що вона повинна вміти
Хмарна vs локальна: як обрати ідеальну СRM і що вона повинна вміти
  • обійти авторизацію та отримати доступ до закритих розділів;
  • обійти заголовки безпеки, наприклад, CSP;
  • впливати на кешування контенту.

Для атаки не потрібні спеціальні інструменти – лише коректний заголовок у HTTP-запиті.

Щоб захиститися від уразливості, потрібно оновитись до безпечних версій – 14.2.25 або 15.2.3. Якщо оновлення неможливо, заблокувати або видалити заголовок x-middleware-subrequest, перш ніж він потрапить в Next.js. Це можна реалізувати лише на рівні:

  • WAF або балансувальника (наприклад, Cloudflare);
  • веб-сервера (Nginx, Apache);
  • Express-сервера, якщо використовується кастомна збірка.

Відкриття CVE-2025-29927 підкреслює важливість бути пильним і підтримувати програмне забезпечення в актуальному стані, особливо якщо це стосується широко використовуваних фреймворків, таких як Next.js.

Найбільш обговорювані статті

Microsoft розповіла про всі нові функції Visual Studio 2022 17.14Microsoft розповіла про всі нові функції Visual Studio 2022 17.14
Ілон Маск відкрив код Grok 2.5 і пообіцяв зробити те саме з Grok 3Ілон Маск відкрив код Grok 2.5 і пообіцяв зробити те саме з Grok 3
Microsoft тестує функцію відновлення роботи Android-додатків у Windows 11Microsoft тестує функцію відновлення роботи Android-додатків у Windows 11
13,4% українських айтівців готуються виїхати за кордон, 20% планують повернутись13,4% українських айтівців готуються виїхати за кордон, 20% планують повернутись
Заснована українцями Grammarly збирається конкурувати з ChatGPT. Центром розробки стане КиївЗаснована українцями Grammarly збирається конкурувати з ChatGPT. Центром розробки стане Київ
Журналістка без досвіду в IT за два дні стала професійним вайб-кодеромЖурналістка без досвіду в IT за два дні стала професійним вайб-кодером
Google: до 2027 року всі Android-програми на телефоні мають бути від «перевірених розробників»Google: до 2027 року всі Android-програми на телефоні мають бути від «перевірених розробників»
Microsoft готується відкрити код «серця Windows» — WinUI APIMicrosoft готується відкрити код «серця Windows» — WinUI API
NotebookLM від Google тепер автоматично створює відеопрезентації українською мовоюNotebookLM від Google тепер автоматично створює відеопрезентації українською мовою
«Це революція»: React та Next.js померли — і новий фреймворк готовий їх замінити

Фреймворк Next.js: розробка сайтів на React і JavaScript

Команда розробників поскаржилась на Next.js і перейшла на чистий React

Оновлення Next.js 15.4 покращує Turbopack перед версією 16

CSR у Next.js. Як працює і що у нього під капотом

Топ текстів
Новини - 3 тижні назад
Популярність IT-спеціальностей серед українських випускників знижується другий рік поспіль
Новини - 3 тижні назад
Grok 4 стає безкоштовною, разом з генератором відео
Новини - 4 тижні назад
У липні українські IT-компанії опублікували понад 7 тисяч вакансій — це рекорд з 2022 року
Новини - 1 місяць назад
Мінцифри запускає в «Дії» новий сервіс — Маркетплейс цифрових рішень
Новини - 2 тижні назад
Розробник підлаштував свій режим сну під дію тарифу Claude Pro
Новини - 2 тижні назад
У ChatGPT може з’явитись реклама
Новини - 1 місяць назад
Хакер зламав інструмент кодування Amazon Q Developer
Новини - 1 місяць назад
Форк Visual Studio Code від розробника TikTok шпигує за користувачами
Новини - 2 тижні назад
Асоціація IT Ukraine розкритикувала заяви Гетманцева про «схеми з ФОП»
Новини - 1 тиждень назад
Сем Альтман розповів про GPT-6 і нову версію інструменту кодування Codex

Новини

Агент Gemini CLI інтегровано в редактор коду Zed

 2 дні назад

OpenAI випустила нову голосову модель і знизила ціни на 20%

 2 дні назад

Більшість проектів open source тримаються на одному розробнику

 2 дні назад

Anthropic буде навчати свої моделі на ваших чатах з Claude

 2 дні назад

Код, згенерований senior-розробниками, потрапляє в продакшн у 2,5 рази частіше, ніж код джуніорів

 2 дні назад

Новий безкоштовний інструмент Microsoft створює 90-хвилинні подкасти з тексту

 3 дні назад

Google запускає локальну версію Gemini

 3 дні назад

В Україні шукають розробників національної LLM. Потрібні 6 фахівців

 3 дні назад

Інструмент кодування Codex став доступним як розширення для VS Code і Cursor

 3 дні назад

Зумери не люблять віддалену роботу найбільше за всіх

 3 дні назад

Спецпроєкти

AI Cyber Forum 2025 збере експертів та інноваторів з mono, Intellias та не тільки. Подія – безплатна
Ефективний моніторинг сучасного PHP-застосунку. Як тут працюють системи спостереження Observability?
Хмарна vs локальна: як обрати ідеальну СRM і що вона повинна вміти
Топ текстів тижня
1.
Журналістка без досвіду в IT за два дні стала професійним вайб-кодером
2.
Розробники фактично пишуть код лише 16% робочого часу
3.
13,4% українських айтівців готуються виїхати за кордон, 20% планують повернутись
4.
Заснована українцями Grammarly збирається конкурувати з ChatGPT. Центром розробки стане Київ
5.
Microsoft тестує функцію відновлення роботи Android-додатків у Windows 11
6.
Виявлено першу програму-вимагач на базі штучного інтелекту
7.
Новий безкоштовний інструмент Microsoft створює 90-хвилинні подкасти з тексту
8.
Ілон Маск відкрив код Grok 2.5 і пообіцяв зробити те саме з Grok 3
9.
Microsoft готується відкрити код «серця Windows» — WinUI API
10.
Документи Word, створені у Windows, тепер автоматично зберігатимуться в хмарі

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить

Користні рішення для тих,
хто пише код

Приєднуйтесь
до товариства: