Origine : bjCSIRT
Numéro : 2025/ALERTE/029
Date de l’alerte : 30/03/2025
APERÇU :
Une vulnérabilité critique identifiée dans Next.js permettrait à un acteur malveillant de contourner les mécanismes de sécurité du middleware de Next.js.
DESCRIPTION :
Next.js est un framework Javascript open source basé sur React, utilisé pour le développement d’applications web modernes avec un rendu hybride, à la fois côté serveur et côté client.
Ce framework est affecté par une vulnérabilité libellée CVE-2025-29927 qui permettrait à un acteur malveillant de contourner les contrôles d’autorisation dans le middleware Next.js, afin d’obtenir un accès non autorisé à des zones protégées. Cette faille est due à une mauvaise gestion des routes et des conditions de filtrage au sein du middleware.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.1 selon le CVSS v3.1.
IMPACT :
- Contournement des contrôles d’accès ;
- Exposition des données sensibles ;
- Risque d’élévation de privilèges et d’accès non autorisé aux ressources protégées.
SYSTÈMES AFFECTÉS :
- Next.js versions 12.x antérieures à 12.3.5 ;
- Next.js versions 13.x antérieures à 13.5.9 ;
- Next.js versions 14.x antérieures à 14.2.25 ;
- Next.js versions 15.x antérieures à 15.2.3.
MESURES À PRENDRE :
- Mettre à jour Next.js vers sa dernière version disponible ;
- Bloquer les requêtes externes contenant l’en-tête HTTP X-middleware-subrequest.
RÉFÉRENCES :
