Next.js中间件认证绕过漏洞分析与资产暴露风险
漏洞概述:CVE-2025-29927
2025年3月21日,Vercel的Next.js框架中被披露了一个认证绕过漏洞,编号为CVE-2025-29927。该漏洞存在于Next.js中间件中,在HTTP请求处理过程中未能正确验证认证信息,使得未经授权的用户能够访问受保护的资源,构成严重安全风险。
根据官方报告,根本原因与Next.js中的beforeFiles路由逻辑有关。Vercel已在 v14.1.0-canary.35 及之后的版本中修复了该漏洞。
- 漏洞ID:CVE-2025-29927
- 发布日期:2025年3月27日
- 受影响版本:Next.js 13.4 及以上版本,但低于 14.1.0
- 官方修复版本:Next.js 14.1.0-canary.35 及更高版本
- CVSS严重等级:高
使用Criminal IP检测Next.js中间件认证绕过
威胁情报搜索引擎Criminal IP可通过查询 "X Powered By: Next.js" 来检测全球暴露的Next.js实例。
Criminal IP共检测到 528,421 个带有HTTP头 X-Powered-By: Next.js 的资产,其中相当一部分被识别为存在漏洞并受多个CVE影响。
资产与漏洞详细分析
具体IP地址的报告页面允许用户查看其开放端口、漏洞状态以及是否被收录在Exploit DB中。
例如,某个通过资产搜索找到的IP地址可能受Next.js中间件漏洞影响,其80和443端口开放,并且四个相关漏洞中有一个在Exploit DB中有对应记录。
CVE-2023-44487 (HTTP/2 Rapid Reset) 是该服务器上检测到的已知漏洞之一。该漏洞允许攻击者快速创建并取消大量HTTP/2流,从而耗尽服务器资源,可能引发分布式拒绝服务(DDoS)攻击。Cloudflare、Google和AWS已确认该漏洞已被用于大规模攻击。
该漏洞的概念验证代码(PoC) 已公开发布在GitHub上,意味着未打补丁的服务器面临极高的即时利用风险。这表明暴露的资产不仅是潜在威胁,更是攻击者可主动利用的实际风险。
Criminal IP能够实时检测大规模Web资产,可用于建立针对基于HTTP头攻击的主动防御和缓解策略。
结论
Next.js在全球数十万Web服务中被广泛采用,新发现的CVE-2025-29927漏洞可能产生广泛的全球影响。Criminal IP已检测到数十万个暴露的服务,突显了主动缓解的紧迫性。
运行基于Next.js的系统的组织必须及时应用补丁并进行安全检查。Criminal IP的资产识别和实时监控能力可实现主动威胁缓解,帮助组织保持对攻击者的领先地位。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyHndScXlefG4GYlOHK1a1ZuqYDEl+au0GLIeW2Z0EZs0Faaal/DJMM55TtDxlrKH0LjAt40OtDG/F1TaiFkJH0pix3FFfkcQZtwGbKg+MxlVXN2pfDR0mMQHxiDy4z4r2Q=
