青蛙科技
下载贤集网APP入驻自媒体
3月27日消息,近日,Next.js React框架维护者发布了版本12.3.5、13.5.9、14.2.25和15.2.3,修复了一个CVSS评分高达9.1的严重漏洞(CVE-2025-29927)Next.js 是一个强大的开源 Web 开发框架,构建在 React JavaScript 库之上,通过提供全面的工具和功能套件简化构建快速、交互式 Web 应用程序的过程。该漏洞允许攻击者在特定条件下绕过Next.js中间件的授权检查,可能导致未授权访问。 网络安全公司JFrog警告称,使用中间件进行用户授权而没有额外检查的网站面临被黑客攻击的风险。具体来说,使用middleware.ts或_middleware.ts文件的Next.js用户,或使用某些npm包的用户都处于风险之中。考虑到该漏洞的严重性和广泛影响,所有Next.js用户应立即检查其部署并应用相应的安全更新,以防止潜在的未授权访问风险。 对于无法立即修补的情况,官方提供了一种临时解决方案:阻止带有x-middleware-subrequest头部的外部请求,以保护Next.js应用程序。
