Next.js: Kritische Lücke ermöglicht Kompromittierung von Web-Apps
Angreifer können eine Schwachstelle in Next.js missbrauchen, um die Autorisierung zu umgehen. Updates stehen bereit.
(Bild: Gorodenkoff/Shutterstock.com)
Im React-Framework Next.js klafft eine kritische Sicherheitslücke. Sie erlaubt Angreifern, unter Umständen Autorisierungsprüfungen zu umgehen und so Web-Apps zu kompromittieren. Aktualisierte Pakete stehen bereit, die die Schwachstelle ausbessern.
Am Wochenende haben die Next.js-Entwickler von Vercel eine Sicherheitsmitteilung mit Informationen zur Lücke veröffentlicht. Demnach nutzt Next.js den internen Heaader x-middleware-subrequest, um dafür zu sorgen, dass rekursive Anfragen keine Endlosschleifen auslösen. Ein Sicherheitsbericht habe aufgezeigt, dass es möglich war, "Middleware" zu umgehen, wodurch Anfragen kritische Prüfungen wie einen Check des Autorisierung-Cookies überspringen und direkt "Routes" erreichen können (cve-2025-29927, CVSS 9.1, Risiko "kritisch").
Next.js: Betroffene Umgebungen
Verwundbar sind selbst-gehostete Anwendungen, die "Middleware" nutzen. Die Next.js-Entwickler ergänzen hierzu: "next start" mit Ausgabe "standalone". Zudem ist betroffen, wer auf "Middleware" zur Authentifizierung oder für Sicherheitsprüfungen in der App setzt. Die gehosteten Versionen von Vercel, Netify oder Apps, die als statische Exports eingerichtet sind und "Middleware" nicht ausführen, sind hingegen nicht angreifbar.
Die Versionen Next.js 15.2.3, 14.2.5, 13.5.9 und 12.3.5 korrigieren die sicherheitsrelevanten Fehler. Sofern das Patchen auf eine sichere Version nicht möglich ist, sollen Admins Nutzeranfragen, die x-middleware-subrequest enthalten, daran hindern, die Next.js-App zu erreichen. Apps, die Cloudflare nutzen, können dazu etwa eine Managed Web-Application-Firewall-Regel (WAF) aktivieren, erörtern die Next.js-Entwickler.
Für den Upgrade-Prozess haben die Entwickler Anleitungen und Hinweise gesammelt, die IT-Verantwortliche dabei unterstützen sollen. Da die Schwachstelle als kritisches Risiko eingestuft wird, sollte die Aktualisierung zügig vorgenommen werden.
Lesen Sie auch
JavaScript: UI-Komponenten-Kit Wijmo bringt Support für Angular 19
React 19 ist erschienen: Von Server Functions bis zu optimistischen Updates
enterJS React 19 Day: Nur noch eine Woche bis zur Konferenz
Storybook 8.3 bringt experimentelles Story-Testing mit Vitest
enterJS React 19 Day: Die neuen React-Features gezielt einsetzen
(dmk)