北京赛克艾威科技有限公司 2025-03-24
Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server\-side Rendering \(SSR\) 和静态站点生成(SSG)项目。Next.js 支持传统的 Node.js 模式和基于边缘计算(Edge Function)的运行模式,后者适用于轻量、高性能的服务逻辑。 2025 年 3 月,社区研究人员披露了 Next.js 中存在一个认证绕过漏洞(CVE\-2025\-29927)。该漏洞成因是框架中用于标记中间件递归请求的特殊请求头 \`x\-middleware\-subrequest\` 可被用户伪造,导致中间件处理链被绕过,进而影响基于中间件实现的身份认证、重定向等关键安全逻辑。由于使用该框架的应用较多,如AI应用 chatbot\-ui,建议受影响的用户根据实际情况评估风险,立即修复此漏洞。 影响版本: 11.1.4 <\= next.js <\= 13.5.6 14.0.0 <\= next.js <\= 14.2.24 15.0.0 <\= next.js <\= 15.2.2 修复版本:14.2.2...
暂无
https://stack.chaitin.com/vuldb/detail/c85aa769-03fb-450a-a55d-31018c062736