Downloading @next/swc-darwin-arm64@15.2.3: 41.23 MB/41.23 MB, done
dependencies:
- next 15.1.0
+ next 15.2.3
Done in 4m 38.6s
NextJS auth middware 漏洞
漏洞概述
漏洞编号:CVE-2025-29927 / GHSA-f82v-jwr5-mffw
漏洞类型:授权绕过( CWE-285 )
严重级别:严重( Critical )
CVSS 评分:9.1/10.0
影响版本:
11.1.4 至 13.5.6
14.0 至 14.2.24
15.0 至 15.2.2
漏洞简述
此漏洞允许攻击者通过添加特定 HTTP 请求头( x-middleware-subrequest )完全绕过在 Next.js 中间件中实现的授权检查,从而获取对受保护资源的未授权访问。由于许多 Next.js 应用仅在中间件层实现授权逻辑,这使得该漏洞的影响范围极广且危害严重。
虽然 Vercel 修了但是没有完全修,self host 的 nextjs 用户还是会遇到问题
Cloudflare 和 Vercel CEO 直接推特中门互狙。。。
| 
