Kritische Schwachstelle in Next.js

Zwei Sicherheitsforschende entdeckten bei Analysen des Javascript-Frameworks Next.js die kritische Schwachstelle CVE-2025-29927. CVE-2025-29927 mit einem CVSS-Score von 9.1/10 betrifft den Header x-middleware-subrequest einer in Next.js verwendeten Middleware.

Indem Angreifende diesen Header über die Lücke manipulieren, könnten sie Authentifizierungsmechanismen umgehen. Daraufhin könnten die Kriminellen Web-Anwendungen kompromittieren oder Denial-of-Service-Attacken (DoS) ausführen.

Die Sicherheitslücke betrifft die Next.js-Versionen vor 15.2.3, 14.2.25, 13.5.9 und 12.3.5. Mit den Versionen 15.2.3, 14.2.25, 13.5.9 und 12.3.5 schließt das Entwickler-Team die Lücke. Weiter können auch 11.x-Versionen von Next.js betroffen sein. Wenn bei diesen Versionen kein Update möglich ist, rät das Entwickler-Team zu unten stehender Mitigation.

• Installieren Sie umgehend und je nach Konfiguration die Version 15.2.3, 14.2.25, 13.5.9 oder 12.3.5 von Next.js.
• Wenn Sie Ihre Next.js-Instanz nicht aktualisieren können, unterbinden Sie Zugriffe auf Ihre Web-Anwendungen über Anfragen mit dem Header x-middleware-subrequest.