深入解析Next.js中间件授权绕过漏洞CVE-2025–29927

Next.js: CVE-2025–29927 Tryhackme Write-up

探索Next.js中的一个授权绕过漏洞。

作者: 0verlo0ked
阅读时间: 6分钟 · 2025年3月26日

引言

Next.js是由Vercel开发的Web开发框架，旨在简化高性能Web应用程序的创建。它构建于React之上，通过添加静态站点生成和服务端渲染等功能扩展了React的能力。SSG在构建时预生成页面，实现更快的内容交付；SSR则在请求时渲染页面，减少加载时间。简言之，Next.js通过添加功能来提升性能和用户体验。

CVE-2025–29927是最近由Rachid和Yasser Allami在Next.js中发现的一个漏洞。该漏洞表明，如果授权检查发生在中间件中，攻击者有可能绕过这些检查。中间件是开发者控制传入请求的部分，它充当传入请求和路由系统之间的桥梁。路由系统是基于文件的，即通过组织文件和目录来创建和管理路由。此漏洞允许攻击者绕过基于中间件的授权，14.2.25之前的所有版本以及15.2.3之前的版本均受此漏洞影响。

Next.js广泛应用于各类应用程序，包括电子商务平台、新闻应用、文档站点和交互式Web应用。因此，该漏洞可能造成严重后果，需要管理员将其安装升级到已修复的版本。

漏洞利用

概念验证可利用应用和利用代码已由Yunus Aydin在GitHub上发布。我们已适配该应用并将其托管在附带的虚拟机中。您可以通过在AttackBox上访问http://10.10.149.25:3000来查看示例Web应用。但是，如果您尝试访问受保护的路由http://10.10.149.25:3000/protected，您将被重定向到主页。

Curl

利用CVE-2025–29927漏洞非常简单；攻击者只需在其请求中添加额外的HTTP头部x-middleware-subrequest: middleware。正如披露此漏洞的原始文章所解释的，添加x-middleware-subrequest头部会导致请求在没有中间件处理的情况下被转发到其目的地。因此，只需使用带有适当头部参数的curl即可访问受保护的路由（即页面）。

利用此漏洞可以让我们访问受保护的页面。一个简单的方法是在AttackBox的终端中执行以下命令：

curl-H"x-middleware-subrequest: middleware"http://10.10.149.25:3000/protected

该命令类似于通常的curl命令，只有一个例外：它使用-H（等同于--header）向HTTP GET请求添加一个额外的头部。因此，上述curl命令允许攻击者绕过所有安全控制并获取受保护的页面。

Burp Suite

如果您更喜欢图形用户界面，使用Burp Suite利用此漏洞同样容易。一种简单的方法是使用Burp Suite的浏览器，并在访问http://10.10.149.25:3000/protected时修改请求。

如果您不熟悉Burp Suite，可以在启动Burp Suite后按照以下步骤操作：

1. 导航到Proxy标签页并确保Intercept处于开启状态。这将确保Burp Suite拦截所有HTTP请求，并让您在请求发送到Web服务器之前有机会修改它们。
2. 点击Open browser按钮并导航到http://10.10.149.25:3000/protected。
3. HTTP请求被拦截；它将保持冻结状态，直到您点击Forward按钮。

在按下Forward按钮之前，您必须在HTTP头部添加x-middleware-subrequest: middleware。下图显示了一个被操纵的头部示例。您可以在浏览器中看到结果。

THM{NEXT_MDLE_JS}

检测

从前面的任务中回顾一下，针对Next.js的CVE-2025–29927是一个中间件授权绕过漏洞，导致能够访问先前需要此类授权的页面和路由。

本任务将介绍一些可用于检测此攻击发生的技术和规则，包括通过日志和网络流量。

手动检测

Web服务器日志可能用于发现此漏洞利用发生的证据。然而，这取决于Web服务器是否配置为记录HTTP头部。例如，NodeJS允许通过request.headers['x-middleware-subrequest']记录此特定HTTP头部。

如果Web应用被代理，则需要修改Nginx或Apache2等Web服务器上的日志配置以记录此特定头部。例如，可以在Apache2中使用LogFormat：

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{x-middleware-subrequest}i\"" custom

正确设置此HTTP头部的日志记录后，就可以使用Grep、Yara等常用工具。

Snort (v2)

以下Snort规则在用作IDS时，可用于检测CVE-2025–29927的发生：

alert tcp any any -> any any (msg:"HTTP 'x-middleware-request' header detected, possible CVE-2025-29927 explotation";content:"x-middleware-subrequest"; rawbytes; sid:10000001; rev:1)

此规则检查数据包时不考虑任何协议，例如http_headers模块。这是因为在撰写本文时，HTTP头部 “x-middleware-request” 在Snort中不是被识别的头部。

首先，我们将Snort规则添加到本地规则中。在Ubuntu上，默认位于/etc/snort/rules/local.rules。现在我们将粘贴上面的代码片段并保存。请注意，如果您已有现有规则，则需要将sid值更改为另一个值。

编辑Snort的local.rules

ubuntu@tryhackme-2404:~$sudonano/etc/snort/rules/local.rules# $Id: local.rules,v 1.11 2004/07/23 20:14:44 bmc Exp $# ----------------# LOCAL RULES# ----------------# This file intentionally does not come with signatures. Put your local# additions here.alert tcp any any ->anyany(msg:"HTTP 'x-middleware-request' header detected";content:"x-middleware-subrequest";rawbytes;sid:10000001;rev:1)

现在，我们可以运行Snort并测试检测。下面的终端以控制台模式运行Snort，用于演示警报触发。

Snort检测CVE-2025–29927

ubuntu@tryhackme-2404:/var/log/snort$sudosnort-q-l/var/log/snort-iens5-Aconsole-c/etc/snort/snort.conf 03/24-20:16:13.424299[**][1:10000001:1]HTTP'x-middleware-request'header detected[**][Priority:0]{TCP}10.10.142.69:49432->10.10.219.251:3000

Zeek

Zeek为网络流量中的威胁检测提供了更全面的机会。对于CVE-2025–29927，可以使用以下Zeek规则：

module CVE_2025_29927; export { redef enum Log::ID += { LOG }; global log_policy: Log::PolicyHook = Log::IGNORE; event http_header(c: connection, is_orig: bool, name: string, value: string) { if (name == "x-middleware-subrequest" && value == "middleware") Log::write(HTTP::LOG, [$timestamp=c$start_time, $uid=c$uid, $id=c$id, $note="CVE_2025_29927_Exploit", $msg="Detected HTTP header associated with CVE-2025-29927", $header=name, $value=value]); notice_info(c, "CVE-2025-29927 Exploit", fmt("The HTTP header '%s' associated with CVE-2025-29927 was detected", value)); } }

确保将此文件以.zeek扩展名保存在Zeek脚本的配置目录中。您需要通过添加@load ./cve_2025_29927.zeek来修改您的local.zeek以包含此脚本。

最后，通过sudo zeekctl deploy重启Zeek以应用配置更改。如果成功，Zeek现在会在检测到CVE-2025-29927时发出警报：

[Connnection_ID] The HTTP header "x-middleware-subrequest" associated with CVE-2025-29927 was detected

结论

在本房间中，我们介绍了此漏洞存在的原因以及如何利用它。查阅关于发现此漏洞的原始文章，重要地提醒了我们，在许多流行应用程序的源代码中仍然潜伏着许多漏洞。对于已打补丁的版本，用户需要升级到以下版本：

• Next.js 15.x 应升级到 15.2.3
• Next.js 14.x 应升级到 14.2.25
• Next.js 13.x 应升级到 13.5.9
• Next.js 12.x 应升级到 12.3.5

如果无法打补丁，唯一的缓解措施是阻止包含x-middleware-subrequest的HTTP请求到达您的Web应用程序。
CSD0tFqvECLokhw9aBeRql9ywWnUrGrT72TdyN/gd6yOTLM3clGQjgD9J9Lx1TF8YNgmlAHUWHEmpgBYjdfmIVyFo6uEgdc/Ets+tmuLaFFqg3xQ/BFAz4rnVGyFjGTe
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）