CVE-2025-29927 Umgehung der Authorisierung in Next.js möglich
Am 21. März 2025 wurde eine kritische Sicherheitslücke (CVE-2025-29927, CVSS 9.1) in Next.js bekannt, die es Angreifern erlaubt, Autorisierungsprüfungen zu umgehen, sofern diese innerhalb von Middleware implementiert sind. Die Schwachstelle betrifft eine Vielzahl von Versionen: konkret alle Releases von Next.js größer als 11.1.4 bis einschließlich 13.5.6, sowie die Versionen >14.0 bis <14.2.25 und >15.0 bis <15.2.3.
Für Next.js 14.x und 15.x stehen bereits Sicherheitsupdates zur Verfügung: Version 14.2.25 und 15.2.3 beheben das Problem vollständig. Ältere Versionen bis einschließlich 13.5.6 enthalten zwar keinen offiziellen Patch, allerdings wird für diese Fälle ein Workaround empfohlen. Entwickler sollten dafür sorgen, dass externe Anfragen mit dem Header x-middleware-subrequest nicht an ihre Next.js-Anwendungen weitergeleitet werden.