Installez la dernière version pour fermer la vulnérabilité de contournement de l’autorisation critique.
Les développeurs et les administrateurs Web utilisant le cadre Next.js pour créer ou gérer les applications Web interactives doivent installer une mise à jour de sécurité pour brancher une vulnérabilité critique.
La vulnérabilité, CVE-2025-29927, permet une contournement d’autorisation si la fonction «middleware» est activée pour être liée à un service. Cette vulnérabilité est essentielle si le middleware qui suivit. JS se connecte aux fonctions de sécurité telles que l’autorisation, le contrôle d’accès ou la vérification si les cookies de session sont valides.
« Cette vulnérabilité vous permettrait de contourner ce contrôle », a noté Johannes Ullrich, doyen de la recherche au Sans Institute.
« Si vous êtes affecté, cela permet essentiellement un contournement d’authentification très trivial », a-t-il déclaré. Si Next.js est utilisé sur un site de commerce électronique, par exemple, tout un acteur de menace devrait faire est de se connecter en tant que client ordinaire et qu’ils pourraient explorer l’utilisation par l’entreprise du cadre, puis affectionner des contrôles de sécurité.
« Vous pouvez accéder à des choses comme les fonctionnalités d’administration qui sont censées être autorisées simplement en ajoutant une en-tête simple (pour contourner la sécurité) », a-t-il déclaré.
Selon les chercheurs Rachid A et Yasser Allam, qui ont découvert le trou, « l’impact est considérable, avec toutes les versions affectées et aucune condition préalable à l’exploitabilité. »
Toutes les versions de Next.js à partir de la version 11.1.4 sont vulnérables. Les développeurs et les administrateurs doivent immédiatement s’assurer que leur installation de next.js 15.x utilise la version 15.2.3. Ceux qui veulent rester sur la version 14.x devraient passer à 14.2.25.
Les applications sur site qui n’invoquent pas la commande «Middleware», ou les applications hébergées sur Vercel – développent Suivant.js – ou NetLify.
Vercel recommande que si le correctif à une version sûre n’est pas possible, les administrateurs devraient empêcher les demandes de l’utilisateur externes qui contiennent l’en-tête d’atteindre l’application suivante.
Alors que Next.js est un outil open source, Ullrich a déclaré que les outils commerciaux avaient des vulnérabilités similaires dans les en-têtes qui pourraient être usurpés par un attaquant.
« C’est vraiment une vulnérabilité dans la façon dont les applications Web modernes sont construites, en particulier s’ils ciblent les déploiements cloud », a-t-il déclaré. «Ils sont souvent construits avec différents composants qui demandent des allers-retours pour trouver la réponse à la demande d’un utilisateur. Des choses comme celle-ci sont souvent utilisées pour secouer ou simplifier l’autorisation. Mais si ce n’est pas fait correctement, vous vous retrouvez avec ces vulnérabilités de contournement.»
« Il y a probablement plus de vulnérabilités comme celle-ci persistante dans d’autres cadres (de développement) », a-t-il averti.
