OG东方厅

首页 > 安全钻研 > 安全传递 > 安全事务响应

Next.js 中央件权限绕过缝隙(CVE-2025-29927)来袭，，，OG东方厅提供解决规划

颁布功夫 2025-03-25

Next.js 是一个基于 React 的盛行 Web 利用框架，，，提供服务器端渲染、、、静态网站天生和集成路由系统等职能�！！！�

2025年3月，，，OG东方厅监控到Next.js 中央件权限绕过缝隙谍报(CVE-2025-29927)，，，当在Next.js利用中使用middleware 时，，，在要求头中参与特定的 x-middleware-subrequest 要求头即可绕过 middleware 中的逻辑�！！！＠绲笔褂� middleware 进行身份验证与授权，，，可利用该缝隙绕过身份验证�！！！８梅煜禖VSSv3评分9.1，，，缝隙等级为高危�！！！�

表1.png

缝隙复现截图

影响版本

15.* <= Next.js<15.2.3

14.* <= Next.js<14.2.25

11.1.4 <= Next.js <= 13.5.6

修复建议

一、、、官方修复规划：

请受影响的用户尽快升级版本进行防护，，，下载链接：

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

二、、、OG东方厅规划：

1、、、OG东方厅检测类产品规划

天阗入侵检测与治理系统（IDS）、、、天阗超融合检测探针（CSP）、、、天阗威胁分析一体机（TAR）、、、天清WEB安全利用网关（WAF）、、、天清入侵防御系统（IPS），，，升级到最新版本即可有效检测或防护该缝隙造成的攻击风险�！！！�

事务库下载地址：https://venustech.download.venuscloud.cn/

2、、、OG东方厅漏扫产品规划

（1）“OG东方厅缝隙扫描系统V6.0”产品已支持对该缝隙进行扫描

图2.png

（2）OG东方厅缝隙扫描系统608X系列版本已支持对该缝隙进行扫描

图3.png

3、、、OG东方厅资产与脆弱性治理平台产品规划

OG东方厅资产与脆弱性治理平台实时采集并更新谍报信息，，，对入库资产Next.js 中央件权限绕过缝隙(CVE-2025-29927)进行治理�！！！�

图4.png

4、、、OG东方厅安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，，进行关联战术配置，，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，，从而发现“Next.js 中央件权限绕过缝隙(CVE-2025-29927)”的缝隙利用攻击行为�！！！�

1）在泰合的平台中，，，通过脆弱性发现职能针对“Next.js 中央件权限绕过缝隙(CVE-2025-29927)”缝隙扫描工作，，，排查治理网络中受此缝隙影响的重要资产；

图5.png

2）平台“关联分析”�？橹�，，，增长“L2_Next.js 中央件权限绕过缝隙(CVE-2025-29927)”，，，通过OG东方厅检测设备、、、指标主机系统等设备的告警日志，，，发现外部攻击行为：

图6.png

通过度析规定自动将"L2_Next.js 中央件权限绕过缝隙(CVE-2025-29927)"缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，，作为内部谍报数据使用；

3）增长“L3_Next.js 中央件权限绕过缝隙(CVE-2025-29927)”，，，前提日志名称等于或蕴含“L2_Next.js 中央件权限绕过缝隙(CVE-2025-29927)”，，，攻击了局等于或属于“攻击成功”，，，主张地址引用资产缝隙或源地址匹配威胁谍报，，，从而提升关联规定的相信度�！！！�

图7.png

4）ATT&CK攻击链条分析与SOAR措置建议

凭据对Next.js 中央件权限绕过缝隙(CVE-2025-29927)的攻击利用过程进行分析，，，攻击链涉及多个ATT&CK战术和技术阶段，，，覆盖的TTP蕴含：

TA0001-初始接见：T1190-利用面向公家的利用法式

TA0004-权限提升：T1068-利用缝隙提权

TA0010-数据泄露：T1041-通过C2通道窃取数据

表2.jpg

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，，针对该缝隙利用的告警事务编排剧本，，，进行自动化措置�！！！�

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】