Am 21. März 2025 wurde eine kritische Sicherheitslücke (CVE-2025-29927, CVSS 9.1) in Next.js bekannt, die es Angreifern erlaubt, Autorisierungsprüfungen zu umgehen, sofern diese innerhalb von Middleware implementiert sind. Die Schwachstelle betrifft eine Vielzahl von Versionen: konkret alle Releases von Next.js größer als 11.1.4 bis einschließlich 13.5.6, sowie die Versionen >14.0 bis <14.2.25 und >15.0 bis <15.2.3.
Für Next.js 14.x und 15.x stehen bereits Sicherheitsupdates zur Verfügung: Version 14.2.25 und 15.2.3 beheben das Problem vollständig. Ältere Versionen bis einschließlich 13.5.6 enthalten zwar keinen offiziellen Patch, allerdings wird für diese Fälle ein Workaround empfohlen. Entwickler sollten dafür sorgen, dass externe Anfragen mit dem Header x-middleware-subrequest nicht an ihre Next.js-Anwendungen weitergeleitet werden.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: