ГлавнаяБаза уязвимостей БДУ → BDU:2025-03185
9.4критическая

BDU:2025-03185

Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js, позволяющая нарушителю обойти существующие ограничения безопасности
Опубликовано: 2025-03-24
Описание

Уязвимость механизма обработки заголовков x-middleware-subrequest программной платформы создания веб-приложений Next.js связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности путем отправки специально сформированного запроса

Затрагиваемое ПО и версии
Next.js (до 15.2.3)Next.js (до 14.2.25)Next.js (до 13.5.9)Next.js (до 12.3.5)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности обработки уязвимым программным обеспечением запросов, содержащих заголовки x-middleware-subrequest
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций:
https://www.openwall.com/lists/oss-security/2025/03/23/3

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://www.openwall.com/lists/oss-security/2025/03/23/3https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middlewarehttps://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
Проверьте безопасность своего сайта и почты → Полная проверка домена