今日，亞信安全CERT監控到安全社區研究人員發布安全通告，Next.js 存在一個授權繞過漏洞，編號為 CVE-2025-29927。攻擊者可能通過發送精心構造的 x-middleware-subrequest 請求頭繞過中間件安全控制，從而在未授權的情況下訪問受保護資源和敏感數據。

目前官方已發布安全更新，亞信安全CERT建議受影響的客戶盡快升級至最新版本。

Next.js 是一個基于 React 的前端框架，兼顧服務端渲染（SSR）和靜態站點生成（SSG）兩種模式。它通過內置的路由系統和數據獲取方式，讓開發者更輕松地創建高性能、可擴展的單頁或多頁應用，同時提升網站的搜索引擎優化（SEO）效果。借助 Next.js，開發者可以在不改變 React 使用習慣的前提下，結合服務端渲染和靜態導出等特性，快速構建復雜的 Web 應用程序。

漏洞編號、類型、等級和評分

• CVE-2025-29927

• 授權繞過漏洞

• 緊急

• CVSS3.0：9.1分

• CVSS2.0：9.4分

漏洞狀態

受影響版本

• 15.* <= Next.js <15.2.3

• 14.* <= Next.js <14.2.25

• 11.1.4 <= Next.js <= 13.5.6

產品解決方案

目前亞信安全怒獅引擎已第一時間新增了檢測規則，支持CVE-2025-29927漏洞的檢測，請及時更新TDA產品的特征庫到最新版本。規則編號：106065313，規則名稱：Next.js Middleware鑒權繞過漏洞(CVE-2025-29927)。

更新方式如下：

TDA產品在線更新方法：登錄系統-》系統管理-》系統升級-》特征碼更新；

TDA產品離線升級PTN包下載鏈接如下：

詳細下載地址請后臺咨詢

修復建議

官方已發布安全補丁通告，建議受影響的用戶到官網下載補丁升級到最新版本。

?https://github.com/vercel/next.js/releases/tag/v15.2.3

參考鏈接

• https://www.oscs1024.com/hd/MPS-74us-z9c5

• https://nvd.nist.gov/vuln/detail/CVE-2025-29927

• https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

• https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2

本文發布的補丁下載鏈接均源自各原廠官方網站。盡管我們努力確保官方資源的安全性，但在互聯網環境中，文件下載仍存在潛在風險。為保障您的設備安全與數據隱私，敬請您在點擊下載前謹慎核實其安全性和可信度。