CSIRT Toscana Rilevata vulnerabilità in Next.js (AL01/250324/CSIRT-ITA)
Data:
24 Marzo 2025 11:20
Impatto Sistemico
Critico (78.33)
Sintesi
Aggiornamenti di sicurezza risolvono una vulnerabilità di gravità “critica” in Next.js, noto framework javascript per la creazione di applicazioni web. Tale vulnerabilità potrebbe consentire, a un utente malintenzionato, il bypass dei controlli di sicurezza del middleware di Next.js tramite un’intestazione HTTP “x-middleware-subrequest” opportunamente predisposta.
Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-29927 risulta disponibile in rete.
Tipologia
- Security Restrictions Bypass
Prodotti e versioni affette
Next.js
- 15.x, versioni precedenti alla 15.2.3
- 14.x, versioni precedenti alla 14.2.25
- Versioni dalla 11.1.4 alla 13.5.6 (mitigazioni disponibili)
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.
Si evidenzia che per le versioni di Next.js dalla 11.1.4 alla 13.5.6 il vendor non rilascerà alcuna patch; risulta altresì possibile mitigare la vulnerabilità seguendo le indicazioni fornite nel bollettino bollettino di sicurezza disponibile nella sezione Riferimenti.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2025-29927 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 24-03-2025 | 24/03/2025 |
| 1.1 | Aggiunta nota alla sezione “Sintesi” per rilevamento PoC relativo alla | 24/03/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link