Първите опити за използване на уязвимост с критична сериозност в Next.js са наблюдавани по-малко от седмица след пускането на кръпките, съобщава Akamai.
Next.js е рамка на React, която се използва за изграждане на уеб приложения. Тя позволява на разработчиците да намалят времето за зареждане на сайтовете и да подобрят оптимизацията за търсачки (SEO).
Проследяван като CVE-2025-29927 (CVSS оценка 9.1), недостатъкът с критична тежест беше публично разкрит на 21 март, една седмица след като бяха пуснати кръпки във версиите на Next.js 15.2.3 и 14.2.25. Поправките бяха включени и във версиите на Next.js 13.5.9 и 12.3.5, които бяха пуснати през уикенда.
Next.js разчита на междинен софтуер за обработка на HTTP заявки. Мидълуерът отговаря и за удостоверяването, оторизацията и задаването на заглавия за сигурност, а вътрешният хедър „x-middleware-subrequest“ се използва за управление на тези процеси и за предотвратяване на безкрайни цикли.
Неправилното валидиране на вътрешния хедър, който има предсказуема стойност, позволява на атакуващия да изпраща изработени заявки, имитиращи хедъра, и да заобикаля проверките за удостоверяване в рамките на приложението Next.js.
„Когато междинният софтуер е заобиколен, приложението не изпълнява нормалните си процедури за сигурност, като например проверка на самоличността или ролята, което води до потенциален неоторизиран достъп до чувствителни или ограничени части на приложението“, обяснява Akamai, като предупреждава, че дефектът в сигурността може да бъде използван без удостоверяване.
Макар че са засегнати няколко версии на Next.js, методите за експлоатация се различават в зависимост от версията. Според Rapid7 потенциалното въздействие на дефекта варира в зависимост от приложението, в зависимост от конфигурацията на междинния софтуер и от предназначението на приложението.
„Организациите трябва да обмислят дали техните приложения разчитат единствено на междинния софтуер за удостоверяване. Възможно е приложението да използва мидълуер, но да действа само като фронт енд към бек-енд API, които се занимават с логиката на удостоверяване от страна на сървъра. Заобикалянето на front-end мидълуера на Next.js няма да повлияе на способността на back-end-а да удостоверява потребителите“, отбелязва Rapid7.
Макар че фирмата за киберсигурност твърди, че не ѝ е известно CVE-2025-29927 да се експлоатира в дивата природа, Akamai отбелязва, че участниците в заплахите вече сондират интернет за сървъри, засегнати от бъга.
Наблюдаваните атаки, отбелязва Akamai, симулират „множество вътрешни подзаявки в рамките на една заявка, задействайки вътрешната логика за пренасочване на Next.js“ и много приличат на кода за проверка на концепцията (PoC), който Рашид и Ясер Алам, на които се приписва докладването на дефекта, публикуваха заедно с техническата информация за бъга.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
