СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.03.2025
#Dev#ИБ#Инфра

Уязвимость CVE-2025-29927 в Next.js: срочные рекомендации

Уязвимость CVE-2025-29927 в Next.js: срочные рекомендации

Источник: securitylabs.datadoghq.com

Недавно специалисты по кибербезопасности выявили критическую уязвимость под идентификатором CVE-2025-29927, которая затрагивает промежуточное программное обеспечение Next.js. Уязвимость позволяет злоумышленникам обходить авторизацию через созданные HTTP-запросы, содержащие внутренний заголовок x-middleware-subrequest.

Рекомендации по устранению уязвимости

Рекомендации по безопасности, опубликованные 21 марта, касаются нескольких версий Next.js:

  • Все версии до 12.3.5 для серии 12.x
  • Все версии до 13.5.9 для серии 13.x
  • Все версии до 14.2.25 для серии 14.x
  • Все версии до 15.2.3 для серии 15.x

Использование данной уязвимости может привести к

обходу критических проверок безопасности, что в свою очередь повышает риск доступа к конфиденциальным административным маршрутам и защищенному контенту. Это делает устранение проблемы крайне важным.

Стратегии снижения рисков

Организациям настоятельно рекомендуется уделять приоритетное внимание исправлению уязвимых версий Next.js. В случае, если немедленное обновление невозможно, предлагается использовать временную стратегию снижения рисков:

  • Настройка веб-серверов или прокси-серверов для отклонения любых запросов, содержащих заголовок x-middleware-subrequest.

Кроме того, разработчикам следует:

  • Усилить проверки безопасности.
  • Пересмотреть логику промежуточного программного обеспечения.

Текущая ситуация с уязвимостью

В настоящее время наблюдается ограниченное количество проверок, направленных на устранение этой уязвимости. Анализ выявленных данных показывает, что полезная информация в основном связана с понятиями промежуточное программное обеспечение, src/middleware и различными соглашениями об именовании.

Активность сканирования характеризуется низким объемом и отсутствием целенаправленной точности. Это может свидетельствовать о том, что злоумышленники либо снижают приоритет автоматического сканирования, либо еще не разработали эффективные методы использования данной уязвимости.

Инструменты для обеспечения безопасности

Для организации, использующих Datadog Code Security, доступны инструменты, позволяющие выявлять уязвимые услуги с помощью специальных запросов, связанных с CVE-2025-29927. Это особенно важно для того, чтобы своевременно обновлять свои общедоступные Next.js услуги и защищать их от потенциальных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: