СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
21.03.2025

Уязвимость BDU:2025-03185

Уязвимость BDU:2025-03185

Идентификатор: BDU:2025-03185.

Наименование уязвимости: Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности.

Описание уязвимости: Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности путем отправки специально сформированного запроса
Уязвимое ПО: Прикладное ПО информационных систем Vercel Next.js до 15.2.3 | Прикладное ПО информационных систем Vercel Next.js до 14.2.25 | Прикладное ПО информационных систем Vercel Next.js до 13.5.9 | Прикладное ПО информационных систем Vercel Next.js до 12.3.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 21.03.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— ограничение возможности обработки уязвимым программным обеспечением запросов, содержащих заголовки x-middleware-subrequest
— использование средств межсетевого экранирования уровня веб-приложений (WAF);
— использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
— использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций:
https://www.openwall.com/lists/oss-security/2025/03/23/3.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-29927.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.openwall.com/lists/oss-security/2025/03/23/3
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: