CVE-2025-29927 Next.js Middleware Autorisierungsumgehungs-Schwachstelle
Kurz nach der Offenlegung von CVE-2025-24813, einer neu entdeckten RCE-Schwachstelle in Apache Tomcat – nur 30 Stunden nach der öffentlichen Bekanntgabe und PoC-Veröffentlichung aktiv ausgenutzt – ist eine weitere kritische Sicherheitsbedrohung aufgetreten. Als CVE-2025-29927 verfolgt, wurde die neu entdeckte Schwachstelle im Next.js React-Framework identifiziert und könnte potenziell Angreifern ermöglichen, Autorisierungsprüfungen unter bestimmten Bedingungen zu umgehen.
Mit der wachsenden Zahl von Schwachstellen in weit verbreiteter Software und deren schneller Ausnutzung bei echten Angriffen war die Nachfrage nach proaktiver Bedrohungserkennung noch nie so entscheidend. Allein in den ersten zwei Monaten des Jahres 2025 hat NIST über 10.000 Schwachstellen identifiziert, von denen viele bereits bedeutende Herausforderungen für SOC-Teams weltweit darstellen. Da Cyber-Bedrohungen immer ausgefeilter werden, müssen sich Sicherheitsteams auf Strategien zur Früherkennung konzentrieren, um Angreifer zu überholen und Risiken zu mindern, bevor sie eskalieren. Registrieren Sie sich für die SOC Prime-Plattform, um im kollektiven Cyber-Verteidigungskampf auf den globalen Feed für aktive Bedrohungen zuzugreifen, der Echtzeit-CTI und kuratierte Erkennungsinhalte bereitstellt, um Angriffe, die neue CVEs ausnutzen, rechtzeitig zu erkennen und abzuwehren. Erkunden Sie eine umfangreiche Bibliothek von Sigma-Regeln, die nach dem “CVE”-Tag gefiltert und von einer vollständigen Produktsuite für fortschrittliche Bedrohungserkennung und -jagd unterstützt werden, indem Sie Erkennungen erkunden unten.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Technologien kompatibel und auf das MITRE ATT&CK Framework abgebildet, um die Bedrohungsermittlung zu vereinfachen. Darüber hinaus wird jede Regel mit detaillierten Metadaten angereichert, einschließlich CTI Referenzen, Angriffschronologien, Prüfkonfigurationen, Triage-Empfehlungen und mehr.
Analyse von CVE-2025-29927
Kürzlich wurde eine kritische Schwachstelle namens CVE-2025-29927 in Next.js, einem Open-Source-Web-Framework, offengelegt. Der Mangel erhielt einen hohen CVSS-Schweregradwert von 9,1 von 10, was es Angreifern ermöglicht, Autorisierungsprüfungen zu umgehen, die durch Middleware durchgesetzt werden. Die Schwachstelle betrifft mehrere Softwareversionen von 11.x bis 15.x und stellt erhebliche Risiken für die Autorisierung dar.
CVE-2025-29927 betrifft speziell die Next.js-Middleware, die häufig für Autorisierung, Pfadumschreibungen, serverseitige Umleitungen und das Setzen von Antwort-Headern wie Content Security Policy (CSP) verwendet wird. CVE-2025-29927 ergibt sich aus einem Designfehler bei der Handhabung des x-middleware-subrequest-Headers in Next.js, der ursprünglich dazu gedacht war, unendliche Middleware-Schleifen zu verhindern. Wenn Middleware eine Anfrage verarbeitet, prüft runMiddleware auf diesen Header. Falls vorhanden, mit einem bestimmten Wert, umgeht die Anfrage die Middleware und geht über NextResponse.next() weiter.
Der Anbieter warnte, dass jede Host-Website, die sich ausschließlich auf Middleware zur Nutzerautorisierung verlässt, ohne zusätzliche Überprüfungen, anfällig für CVE-2025-29927 ist. Angreifer können dies ausnutzen, indem sie den Header zu ihren Anfragen hinzufügen, wodurch sie Middleware-basierte Sicherheitskontrollen effektiv umgehen und auf eingeschränkte Ressourcen wie Admin-Seiten zugreifen können. Genauer gesagt kann die Schwachstelle zu mehreren Ausnutzungen führen, wie etwa dem Zugriff auf geschützte Routen ohne ordnungsgemäße Autorisierung, der Umgehung von Inhaltsrichtlinien (Content Security Policies) und damit der Ermöglichung von XSS-Angriffen oder der Unterstützung von Cache Poisoning durch Umgehung von Middleware, die Cache-Kontrollen setzt. Angesichts der weiten Verbreitung von Next.js und der einfachen Ausnutzbarkeit – das bloße Hinzufügen eines HTTP-Headers – ist diese Schwachstelle besonders besorgniserregend.
Während Vercel-gehostete Bereitstellungen automatisch gesichert sind, müssen selbst gehostete Anwendungen Patches anwenden oder Maßnahmen zur Minderung von CVE-2025-29927 ergreifen. Vercel, das Unternehmen hinter Next.js, empfiehlt ein Update auf die gepatchten Softwareversionen. Das Problem wurde in den Next.js-Versionen 14.2.25 und 15.2.3 gelöst. Falls ein Upgrade nicht möglich ist, wird ein Workaround für die Versionen 11.1.4 bis 13.5.6 empfohlen. In solchen Fällen wird empfohlen, externe Benutzeranfragen, die den x-middleware-subrequest-Header enthalten, daran zu hindern, die Next.js-Anwendung zu erreichen.
In Anbetracht der leichten Ausnutzbarkeit und der erheblichen Auswirkungen von CVE-2025-29927 ist dies ein hochpriorisiertes Problem für Next.js-Nutzer. Organisationen wird empfohlen, eine proaktive Cybersicherheitsstrategie zu verfolgen, um sich gegen potenzielle Bedrohungen zu schützen, insbesondere wenn sie stark auf Open-Source-Software angewiesen sind. Die vollständige Produktsuite von SOC Prime für AI-Unterstützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung bietet zukunftssichere Fähigkeiten, um die Cyberresilienz zu stärkt und sich vor immer raffinierteren Bedrohungen zu schützen.
