Une faille de sécurité critique a été divulguée dans le cadre de réaction suivante.
La vulnérabilité, suivie comme CVE-2025-29927comporte un score CVSS de 9,1 sur 10,0.
“Next.js utilise un en-tête interne en en-tête X-Middleware-Suquest pour empêcher les demandes récursives de déclencher des boucles infinies” dit dans un avis.
“Il a été possible de sauter la course middlewarece qui pourrait permettre aux demandes de sauter des vérifications critiques, comme la validation des cookies d’autorisation – avant d’atteindre les itinéraires. “
Il convient de noter que le CVE-2025-29927 n’a aucun impact sur les versions auto-hébergées qui utilisent “Suivant Start” avec “Output: Standalone”. Les applications suivantes hébergées sur Vercel et Netlify, ou déployées comme des exportations statiques, ne sont pas affectées.
La lacune a été abordée dans les versions 12.3.5, 13.5.9, 14.2.25 et 15.2.3. Si le correctif n’est pas une option, il est recommandé que les utilisateurs empêchent les demandes d’utilisateurs externes qui contiennent l’en-tête X-Middleware-Suquest d’atteindre l’application suivante.
Le chercheur en sécurité Rachid Allam (alias Zhero et Cold-Try), qui est reconnu pour découvrir et signaler la faille, a depuis publié Détails techniques supplémentaires de la faillece qui rend impératif que les utilisateurs se déplacent rapidement pour appliquer les correctifs.
“La vulnérabilité permet aux attaquants de contourner facilement les vérifications d’autorisation effectuées dans le middleware suivant. dit.
La société a également déclaré que tout site Web d’hôte qui utilise le middleware pour autoriser les utilisateurs sans aucune vérification d’autorisation supplémentaire est vulnérable au CVE-2025-29927, permettant potentiellement aux attaquants d’accéder à des ressources non autorisées autrement (par exemple, les pages d’administration).



