【漏洞通告】Next.js中间件权限绕过漏洞（CVE-2025-29927）

主要观点总结

关于Next.js的权限绕过漏洞CVE-2025-29927的安全通告

关键观点总结

关键观点1: 漏洞概述

Next.js存在一个权限绕过漏洞（CVE-2025-29927），攻击者可利用该漏洞通过操作x-middleware-subrequest请求头绕过系统权限控制，访问目标的受保护资源。

关键观点2: 影响范围

受影响版本包括Next.js 11.1.4至13.5.6，以及特定版本的Next.js 14和Next.js 15。其他未提及的版本不受影响。

关键观点3: 暴露面风险排查

绿盟科技提供了云端检测和本地排查的方式以帮助用户进行漏洞风险的排查。

关键观点4: 漏洞防护

官方已发布新版本修复此漏洞，用户应尽快升级防护。同时，也提供了临时防护措施以拦截包含x-middleware-subrequest标头的请求。

关键观点5: 声明

此安全公告仅用于描述可能存在的安全问题，绿盟科技不为此提供任何保证或承诺。传播、利用此安全公告所造成的后果及损失由使用者本人负责，绿盟科技不承担任何责任。