Next.js 中间件鉴权绕过漏洞分析 (CVE-2025-29927)<\/h1>

漏洞概述<\/h2>
CVE-2025-29927 是 Next.js 框架中发现的一个严重授权绕过漏洞。该漏洞允许攻击者通过伪造特定的 HTTP 请求头，绕过中间件中的授权检查，从而未经授权地访问受保护的资源。<\/p>

受影响版本<\/h3>

Next.js 15.x < 15.2.3<\/li>
Next.js 14.x < 14.2.25<\/li>

Next.js 13.x < 13.5.9<\/li> <\/ul>

影响范围<\/h3>

使用中间件的自托管 Next.js 应用程序（使用 next start<\/code> 命令并设置 output: 'standalone'<\/code>）<\/li>

依赖 Middleware 进行身份验证或安全检查的应用程序，且后续不在应用程序中进行验证<\/li>
<\/ul>
漏洞原理<\/h2>
Next.js 使用内部头字段 x-middleware-subrequest<\/code> 来防止递归请求导致的无限循环。攻击者可以通过在请求中伪造该头字段，跳过中间件的执行，从而绕过关键的安全检查，如授权 Cookie 验证。<\/p>
技术细节<\/h3>


中间件递归机制<\/strong>：<\/p>

当中间件重写请求路径时，Next.js 服务器会重新触发新的请求<\/li>
如果没有 x-middleware-subrequest<\/code> 标识，新的请求会再次触发相同的中间件，导致无限递归<\/li>
正常情况下，Next.js 会在新请求上自动添加 x-middleware-subrequest<\/code> 头<\/li>
<\/ul>
<\/li>

漏洞触发条件<\/strong>：<\/p>

攻击者手动添加 x-middleware-subrequest<\/code> 头<\/li>
在旧版本中，如果该头包含中间件名称，中间件会被跳过<\/li>
在新版本中，如果该头包含5个连续的中间件名称，中间件会被跳过<\/li>
<\/ul>
<\/li>
<\/ol>
环境搭建<\/h2>
可以使用以下两种方式搭建测试环境：<\/p>
方法一：使用 vulhub 环境<\/h3>
git clone https:\/\/github.com\/vulhub\/vulhub.git
<\/span><\/span>cd vulhub\/next.js\/CVE-2025-29927
<\/span><\/span>docker-compose up -d
<\/span><\/span><\/code><\/pre>方法二：手动搭建<\/h3>
git clone https:\/\/github.com\/aydinnyunus\/CVE-2025-29927
<\/span><\/span>cd CVE-2025-29927
<\/span><\/span>npm install
<\/span><\/span>npm run build
<\/span><\/span>node .next\/standalone\/server.js
<\/span><\/span><\/code><\/pre>漏洞复现<\/h2>

正常访问需要登录的页面，会被重定向到登录页<\/li>
添加以下请求头：
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware
<\/code><\/pre>
<\/li>
观察是否绕过权限检查，直接访问到受保护页面<\/li>
<\/ol>
漏洞分析<\/h2>
老版本实现（Next.js 12.2 以下）<\/h3>
在 next-server.ts<\/code> 文件中：<\/p>

解析 x-middleware-subrequest<\/code> 头的值，按 :<\/code> 分割<\/li>
如果分割后的数组包含当前中间件名称，则跳过执行<\/li>
攻击者可伪造包含中间件名称的请求头绕过检查<\/li>
<\/ol>
高版本实现（受影响版本）<\/h3>

解析 x-middleware-subrequest<\/code> 头的值，计算中间件名称出现次数<\/li>
如果递归深度超过 MAX_RECURSION_DEPTH（5），中间件停止执行<\/li>
攻击者需要伪造包含5个中间件名称的请求头<\/li>
<\/ol>
中间件名称确定<\/h3>

老版本：中间件文件必须命名为 _middleware.ts<\/code> 并位于 pages\/<\/code> 目录下<\/li>
新版本：中间件文件更名为 middleware.ts<\/code>，可能位于：

src\/middleware.ts<\/code><\/li>
src\/app\/middleware.ts<\/code><\/li>
src\/pages\/middleware.ts<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
漏洞修复<\/h2>
官方修复方案（commit 52a078d）：<\/p>

移除了递归深度检查机制<\/li>
不再允许通过请求头绕过中间件执行<\/li>
<\/ol>
防御建议<\/h2>


升级到安全版本：<\/p>

Next.js 15.2.3+<\/li>
Next.js 14.2.25+<\/li>
Next.js 13.5.9+<\/li>
<\/ul>
<\/li>

对于无法立即升级的应用：<\/p>

在应用程序层面增加额外的权限验证<\/li>
使用反向代理过滤可疑的 x-middleware-subrequest<\/code> 头<\/li>
<\/ul>
<\/li>

安全开发实践：<\/p>

不要仅依赖中间件进行权限控制<\/li>
在API路由和页面组件中增加二次验证<\/li>
使用Next.js提供的其他安全机制如getServerSideProps进行验证<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>

官方修复提交：https:\/\/github.com\/vercel\/next.js\/commit\/52a078da3884efe6501613c7834a3d02a91676d2<\/li>
漏洞复现环境：

https:\/\/github.com\/vulhub\/vulhub\/blob\/master\/next.js\/CVE-2025-29927<\/li>
https:\/\/github.com\/aydinnyunus\/CVE-2025-29927<\/li>
https:\/\/github.com\/lem0n817\/CVE-2025-29927<\/li>
<\/ul>
<\/li>
技术分析：

https:\/\/zhero-web-sec.github.io\/research-and-things\/nextjs-and-the-corrupt-middleware<\/li>
<\/ul>
<\/li>
<\/ol>

Next.js 中间件鉴权绕过漏洞分析 (CVE-2025-29927)<\/h1>

漏洞概述<\/h2> CVE-2025-29927 是 Next.js 框架中发现的一个严重授权绕过漏洞。该漏洞允许攻击者通过伪造特定的 HTTP 请求头，绕过中间件中的授权检查，从而未经授权地访问受保护的资源。<\/p>

漏洞原理<\/h2> Next.js 使用内部头字段 x-middleware-subrequest<\/code> 来防止递归请求导致的无限循环。攻击者可以通过在请求中伪造该头字段，跳过中间件的执行，从而绕过关键的安全检查，如授权 Cookie 验证。<\/p>

环境搭建<\/h2> 可以使用以下两种方式搭建测试环境：<\/p>

漏洞分析<\/h2>

漏洞概述<\/h2>
CVE-2025-29927 是 Next.js 框架中发现的一个严重授权绕过漏洞。该漏洞允许攻击者通过伪造特定的 HTTP 请求头，绕过中间件中的授权检查，从而未经授权地访问受保护的资源。<\/p>

漏洞原理<\/h2>
Next.js 使用内部头字段 `x-middleware-subrequest<\/code> 来防止递归请求导致的无限循环。攻击者可以通过在请求中伪造该头字段，跳过中间件的执行，从而绕过关键的安全检查，如授权 Cookie 验证。<\/p>`

环境搭建<\/h2>
可以使用以下两种方式搭建测试环境：<\/p>