記事本文(要約)
Next.jsのオープンソースWeb開発フレームワークに重大な脆弱性(CVE-2025-29927)が発見されました。この脆弱性により、攻撃者は認証チェックを回避することが可能になる恐れがあります。問題は、中間ウェアがリクエストの処理を経ず目的地に到達するのを防ぐための「x-middleware-subrequest」ヘッダーを回避できる点にあります。
この脆弱性はバージョン15.2.3、14.2.25、13.5.9、12.3.5より前のすべてのNext.jsバージョンに影響し、VercelやNetlifyでホストされた場合やスタティックエクスポートされた場合は影響を受けません。迅速なアップグレードが推奨され、パッチを適用できない場合は、特定のヘッダーを含む外部リクエストをブロックすることが推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 24 Mar 2025 12:15:32 -0400
Original URL: https://www.bleepingcomputer.com/news/security/critical-flaw-in-nextjs-lets-hackers-bypass-authorization/
詳細な技術情報
- CVE番号
- CVE-2025-29927
- 脆弱性の仕組み
- 認証バイパス: 問題は、Next.jsのミドルウェアでの認証処理をバイパスできる点にあります。本来はあるリクエストがアプリケーションルーティングシステムに到達する前に、ミドルウェアが認証や承認の役割を果たします。しかし、特定のHTTPヘッダである ‘x-middleware-subrequest’ を利用することで、ミドルウェアの実行ルーチンがスキップされる状況が発生します。このため、セキュリティ保護機構を迂回することが可能になります。
- 攻撃手法
- 手動リクエスト送信: 攻撃者は、適切な値を持つ ‘x-middleware-subrequest’ ヘッダを含むリクエストを手動で送信します。これにより、中間での認証や承認のチェックをバイパスし、保護メカニズムを無効化します。
- 潜在的な影響
- 保護メカニズムのバイパス: このバイパスの結果、ミドルウェアで設定された認証や承認の設定が無効化され、機密情報へのアクセスや不正なユーザー操作が可能になる恐れがあります。
- 影響を受けるバージョン: Next.jsのバージョン 15.2.3、14.2.25、13.5.9、12.3.5 より前のすべてのバージョンが影響を受けます。また、 ‘next start’ を使って自己ホストしている環境のみが影響を受けます。
- 推奨される対策
- 1. アップデート: Next.jsの最新バージョンに迅速にアップグレードすることが推奨されます。これは、既にエクスプロイトの技術的詳細が公開されているためです。
- 2. ヘッダ検証: パッチがすぐに適用できない場合は、 ‘x-middleware-subrequest’ ヘッダを含む外部ユーザーリクエストをブロックすることが推奨されます。
- 3. ホスティング環境の確認: VercelやNetlifyでホストされている場合、および静的エクスポートとしてデプロイされている場合は影響を受けません。自己ホスト環境での対応が特に重要です。
