CVE-2025-29927 Vulnérabilité de contournement d’autorisation du middleware Next.js
Dans la foulée de la divulgation de CVE-2025-24813, une nouvelle vulnérabilité RCE découverte dans Apache Tomcat—exploité activement seulement 30 heures après sa divulgation publique et la publication de son PoC—une autre menace de sécurité critique a maintenant émergé. Suivie sous CVE-2025-29927, la nouvelle vulnérabilité a été identifiée dans le framework React Next.js, donnant potentiellement aux adversaires le feu vert pour contourner les contrôles d’autorisation sous certaines conditions.
Avec l’augmentation de la vague de vulnérabilités dans les logiciels largement utilisés et leur exploitation rapide dans les attaques réelles, la demande de détection proactive des menaces n’a jamais été aussi critique. Au cours des deux premiers mois de 2025, le NIST a identifié plus de 10 000+ vulnérabilités, dont beaucoup posent déjà des défis significatifs pour les équipes SOC dans le monde entier. À mesure que les cybermenaces deviennent plus sophistiquées, les équipes de sécurité doivent se concentrer sur des stratégies de détection précoce pour devancer les attaquants et atténuer les risques avant qu’ils ne s’aggravent. Inscrivez-vous à la plateforme SOC Prime pour la défense cybernétique collective afin d’accéder au flux mondial de menaces actives fournissant des CTI en temps réel et un contenu de détection curation pour repérer et atténuer les attaques utilisant les CVE émergents à temps. Explorez une vaste bibliothèque de règles Sigma filtrées par le tag « CVE » et soutenues par une suite complète de produits pour la détection et la chasse aux menaces avancées en cliquant sur Explorez les Détections ci-dessous.
Toutes les règles sont compatibles avec plusieurs technologies SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK pour rationaliser l’enquête sur les menaces. De plus, chaque règle est enrichie de métadonnées détaillées, y compris CTI des références, des chronologies d’attaques, des configurations d’audit, des recommandations de triage et plus encore.
Analyse de CVE-2025-29927
Récemment, une vulnérabilité critique identifiée sous le nom de CVE-2025-29927 a été divulguée dans Next.js, un framework web open-source. Le défaut a été attribué un score de gravité CVSS élevé de 9,1 sur 10, permettant aux attaquants de contourner les vérifications d’autorisation appliquées via le middleware. La vulnérabilité affecte plusieurs versions logicielles de 11.x à 15.x, posant des risques importants pour l’autorisation.
CVE-2025-29927 impacte spécifiquement le middleware de Next.js, qui est largement utilisé pour gérer l’autorisation, la réécriture de chemin, les redirections côté serveur et le paramétrage des en-têtes de réponse tels que la Content Security Policy (CSP). CVE-2025-29927 découle d’un défaut de conception dans la gestion par Next.js de l’en-tête x-middleware-subrequest, initialement destiné à prévenir les boucles infinies de middleware. Lorsque le middleware traite une requête, runMiddleware vérifie cet en-tête. S’il est présent avec une valeur spécifique, la requête contourne le middleware et procède via NextResponse.next().
Le fournisseur a averti que tout site web hôte se reposant uniquement sur le middleware pour l’autorisation des utilisateurs, sans vérifications supplémentaires, est vulnérable au CVE-2025-29927. Les attaquants peuvent exploiter cela en ajoutant l’en-tête à leurs requêtes, contournant effectivement les contrôles de sécurité basés sur le middleware et accédant à des ressources restreintes, telles que les pages admin. Plus précisément, la vulnérabilité peut conduire à plusieurs exploits, tels que permettant aux attaquants d’accéder à des routes protégées sans autorisation appropriée, de contourner les politiques de sécurité de contenu et ainsi permettre les attaques XSS, ou de faciliter l’empoisonnement des caches en contournant le middleware qui définit les contrôles de cache. Compte tenu de l’utilisation généralisée de Next.js, la facilité d’exploitation—simplement en ajoutant un en-tête HTTP—rend cette vulnérabilité particulièrement inquiétante.
Alors que les déploiements hébergés par Vercel sont automatiquement sécurisés, les applications auto-hébergées doivent appliquer des correctifs ou adopter des mesures d’atténuation pour CVE-2025-29927. Vercel, la société derrière Next.js, recommande la mise à jour vers les versions logicielles corrigées. Le problème a été résolu dans les versions 14.2.25 et 15.2.3 de Next.js. Si la mise à niveau n’est pas possible, une solution de contournement est recommandée pour les versions 11.1.4 à 13.5.6. Dans ce cas, il est conseillé de bloquer les requêtes utilisateur externes contenant l’en-tête x-middleware-subrequest pour empêcher leur atteinte à l’application Next.js.
Compte tenu de la facilité d’exploitation et de l’impact significatif du CVE-2025-29927, il s’agit d’une question de haute priorité pour les utilisateurs de Next.js. Les organisations sont conseillées d’adopter une stratégie proactive de cybersécurité pour se protéger contre les menaces potentielles, notamment lorsqu’elles s’appuient fortement sur des logiciels open-source. La suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces, et la détection avancée des menaces offre des capacités robustes pour améliorer la résilience cybernétique, protégeant contre des menaces de plus en plus sophistiquées.
