-
09/04/2020
-
94
-
721 bài viết
Cập nhật ngay Next.js để giải quyết lỗ hổng bỏ qua kiểm tra ủy quyền
Next.js – framework React phổ biến giúp các nhà phát triển xây dựng ứng dụng web full-stack nhanh chóng và hiệu quả vừa giải quyết một lỗ hổng bảo mật nghiêm trọng, cụ thể là lỗi liên quan đến Authorization Bypass (Lỗ hổng bỏ qua kiểm tra ủy quyền).
Lỗ hổng này có mã CVE-2025-29927 với điểm CVSS 9,1, ảnh hưởng trực tiếp đến middleware của Next.js. Kẻ tấn công có thể lợi dụng lỗ hổng để truy cập trái phép vào các tài nguyên và chức năng được bảo vệ trong các ứng dụng sử dụng middleware cho xác thực và ủy quyền, dẫn đến những hậu quả nghiêm trọng như rò rỉ dữ liệu, hành động trái phép và gián đoạn dịch vụ.
Middleware trong Next.js đóng vai trò quan trọng trong việc chặn và xử lý các yêu cầu trước khi chúng đến các tuyến (routes) của ứng dụng. Việc triển khai logic xác thực trong middleware là một phương pháp phổ biến để đảm bảo chỉ những người dùng đã xác thực và có quyền mới có thể truy cập vào các phần cụ thể của ứng dụng.
Phía Next.js đã nhanh chóng khắc phục lỗ hổng CVE-2025-29927 bằng cách phát hành các phiên bản đã được vá lỗi, trong đó Next.js 15.x được sửa lỗi ở phiên bản 15.2.3 và Next.js 14.x được khắc phục trong phiên bản 14.2.25.
Nếu bạn đang sử dụng phiên bản Next.js cũ hơn (từ 11.1.4 đến 13.5.6) và không thể cập nhật ngay lập tức, bạn có thể tạm thời bảo vệ ứng dụng bằng cách chặn các yêu cầu từ bên ngoài có chứa tiêu đề x-middleware-subrequest.
Lý do bởi tiêu đề này là một điều kiện quan trọng cho phép kẻ tấn công khai thác lỗ hổng bảo mật. Việc ngăn chặn này có thể giúp giảm rủi ro trong thời gian ngắn. Tuy nhiên, cách này có thể ảnh hưởng đến một số tính năng của ứng dụng, vì vậy giải pháp lâu dài và tốt nhất vẫn là nâng cấp lên phiên bản đã được vá lỗi.
Lỗ hổng này có mã CVE-2025-29927 với điểm CVSS 9,1, ảnh hưởng trực tiếp đến middleware của Next.js. Kẻ tấn công có thể lợi dụng lỗ hổng để truy cập trái phép vào các tài nguyên và chức năng được bảo vệ trong các ứng dụng sử dụng middleware cho xác thực và ủy quyền, dẫn đến những hậu quả nghiêm trọng như rò rỉ dữ liệu, hành động trái phép và gián đoạn dịch vụ.
Middleware trong Next.js đóng vai trò quan trọng trong việc chặn và xử lý các yêu cầu trước khi chúng đến các tuyến (routes) của ứng dụng. Việc triển khai logic xác thực trong middleware là một phương pháp phổ biến để đảm bảo chỉ những người dùng đã xác thực và có quyền mới có thể truy cập vào các phần cụ thể của ứng dụng.
Phía Next.js đã nhanh chóng khắc phục lỗ hổng CVE-2025-29927 bằng cách phát hành các phiên bản đã được vá lỗi, trong đó Next.js 15.x được sửa lỗi ở phiên bản 15.2.3 và Next.js 14.x được khắc phục trong phiên bản 14.2.25.
Nếu bạn đang sử dụng phiên bản Next.js cũ hơn (từ 11.1.4 đến 13.5.6) và không thể cập nhật ngay lập tức, bạn có thể tạm thời bảo vệ ứng dụng bằng cách chặn các yêu cầu từ bên ngoài có chứa tiêu đề x-middleware-subrequest.
Lý do bởi tiêu đề này là một điều kiện quan trọng cho phép kẻ tấn công khai thác lỗ hổng bảo mật. Việc ngăn chặn này có thể giúp giảm rủi ro trong thời gian ngắn. Tuy nhiên, cách này có thể ảnh hưởng đến một số tính năng của ứng dụng, vì vậy giải pháp lâu dài và tốt nhất vẫn là nâng cấp lên phiên bản đã được vá lỗi.
Theo Security Online
Chỉnh sửa lần cuối: