Drošības pētnieki ir atklājuši būtisku trūkumu nākamajā.js reaģēšanas ietvarā, kas ļauj apiet starpprogrammatūras balstītu piekļuves kontroli. Atklājums notika pagājušajā piektdienā – tieši pēc tam, kad nelaimīgais izstrādātājs virzījās uz ražošanu (visu dienu piektdienā). Nākamais.js ir visplašāk izmantotais JavaScript ietvars tīmeklī.
“NEXT.js izmanto iekšējo galvenes X-Middleware-Subrequest, lai novērstu rekursīvos pieprasījumus izraisīt bezgalīgas cilpas,” Nākamais.js sacīja padomdevējā.
Pasaulē vispopulārākā JavaScript ietvars saskaras ar kritisko 9.1 drošības trūkumu
Ievainojamība-CVE-2025-29927-ar CVSS punktu skaitu 9,1 no 10. Tas ļauj uzbrucējiem izlaist kritisko atļauju pārbaudi, mainot pieprasījuma galveni. Trūkums izriet no tā, kā Nextjs rīkojas ar iekšēju galvu, X-Middleware-Subrequestkas, domājams, novērš bezgalīgas starpprogrammatūras cilpas.
“Bija iespējams izlaist starpprogrammatūras palaišanu, kas varētu ļaut pieprasījumiem izlaist kritiskas pārbaudes – piemēram, autorizācijas sīkfailu validāciju – pirms tam, kad jāsasniedz maršruti,” NEPACTJS sacīja savā padomdevējā.
Problēma ietekmē plašu ražošanas lietotņu un SaaS platformu klāstu, kas izmanto starpprogrammatūru, lai piekļūtu piekļuvei autentificētam vai premium saturam. Ja jūsu lietotne saka: “Nav piekļuves, ja vien jūs neesat samaksājis”, šī kļūda ļauj uzbrucējiem atbildēt: “Foršs stāsts, es jebkurā gadījumā dodos iekšā.”
Kāpēc tas ir svarīgi
Šī nav kaut kāda neskaidra kļūda reti izmantotā bibliotēkā. Tas ir NextJS, kas nodrošina tūkstošiem ražošanas lietotņu gan jaunizveidotiem uzņēmumiem, gan lieliem uzņēmumiem. Ja autentifikācijai izmantojat starpprogrammatūru un vēl neesat izlabojis, jūsu lietotne jau varētu būt neaizsargāta.
Ja jūs neizmantojat starpprogrammatūru vai arī jūs mitināt tādās platformās kā Vercel vai NetLify bez pielāgotas loģikas, jūs, iespējams, neietekmējat. Bet pašnodarbinātas lietotnes, kas izmanto starpprogrammatūru, lai nodrošinātu piekļuves kontroli, ir nonākušas nepatikšanas.
Kā darbojas ekspluatācija
Starpprogrammatūra darbojas, pirms serveris apstrādā pieprasījumu. Parasti to izmanto reģistrēšanai, kļūdu apstrādei un piekļuves kontrolei. Bet šajā gadījumā pētnieki to atklāja, iekļaujot X-Middleware-Subrequest Galveni un uzminējot starpprogrammatūras nosaukumu (kas seko paredzamiem modeļiem), uzbrucēji to var apiet pavisam.
Kad viņi to izdara, jebkura piekļuves kontroles loģika starpprogrammatūrā tiek izlaista. Administratora lapas. Abonenta informācijas paneļi. Viss, kas aiz vārtiem kļūst sasniedzams.
To ir viegli izpildīt un bīstami lietotnēm, kuras lielā mērā balstās uz starpprogrammatūru maršrutu aizsardzībai.
NextJS izmanto atklājumu
Trūkumu atklāja Rachid Allams, pazīstams arī kā zero un auksti izmēģinātApvidū Pēc tam, kad sabiedrības konsultācija bija tiešraidē, viņš publicēja papildu tehnisko informāciju, kas parāda, kā darbojas ekspluatācija. Tas ir pārvērtuši to par sacīkstēm – izstrādātājiem ir jāapzinās, pirms uzbrucēji sāk skenēt mērķus.
JFrog Security, kas arī pārbaudīja šo jautājumu, sacīja:
“Jebkura resursdatora vietne, kas izmanto starpprogrammatūru, lai autorizētu lietotājus bez papildu autorizācijas pārbaudes, ir neaizsargāta pret CVE-2025-29927, potenciāli ļaujot uzbrucējiem piekļūt citādi neatļautiem resursiem.”
Kādas versijas ir izlabotas?
Šajos izlaidumos ir pieejams labojums:
-
12.3.5
-
13.5.9
-
14.2.25
-
15.2.3
Ja atjaunināšana nav iespējama uzreiz, Vercels iesaka bloķēt pieprasījumus, kas ietver X-Middleware-Subrequest galvene. Bet tas ir pagaidu labojums, nevis ilgtermiņa risinājums.
Kas notika pēc informācijas atklāšanas
CloudFlare ātri reaģēja, virzot noteikumu, lai bloķētu galvenes ārēju izmantošanu. Tomēr izmaiņas radīja problēmas ar trešo pušu rīkiem, piemēram, Supabase, autentifikācijas plūsmu pārkāpšanu un viltus pozitīvu izraisīšanu. Noteikums bija jāatstāj atpakaļ un jāizvēlas.
Tad nāca tehnoloģiju drāma.
CloudFlare izpilddirektors izmantoja izdevību reklamēt rīku, kas ļauj izstrādātājiem migrēt savus NextJS projektus no Vercel uz CloudFlare. Piķi? “Atšķirībā no Vercela, mums patiesībā rūp jūsu drošība.”
Vercela izpilddirektors nebija pārsteigts. Viņš atlaida atpakaļ, atgādinot Cloudbleed internetam, kas ir viens no CloudFlare vissliktākajiem drošības gadījumiem, un viņu DDoS aizsardzību sauca par “miskasti”. CloudFlare izpilddirektors atbildēja ar mēmu, un visa apmaiņa ātri pārvērtās par Tech Twitter haosu.
Kas ir neapmierinoši izstrādātāji
Kavēšanās.
Par neaizsargātību tika ziņots 27. februārī. Tas netika izlikts līdz 18. martam. Tas ir gandrīz trīs nedēļas augstas atšķirības kļūdai vienā no populārākajiem ietvariem internetā.
Daudziem izstrādātājiem tas nebija tikai trūkums – tā bija lēna reakcija uz kaut ko, ko vajadzēja ārstēt ar daudz lielāku steidzamību.
Apakšējā līnija
Ja jūsu lietotne izmanto starpprogrammatūru, lai kontrolētu piekļuvi, un jūs neesat izlabojis, jūs esat pakļauts riskam. Izmantošana ir īsta, viegli iedarbināma un publiska.
Plāksteris tagad. Nepaļaujieties tikai uz starpprogrammatūru. Un varbūt pārtrauciet piegādes kodu piektdienās.
