CVE-2025-29927 Vulnerabilità di Bypass dell’Autorizzazione nel Middleware di Next.js
Sulla scia della divulgazione di CVE-2025-24813, una nuova vulnerabilità RCE scoperta in Apache Tomcat—sfruttata attivamente solo 30 ore dopo la sua divulgazione pubblica e il rilascio del PoC—è emersa un’altra minaccia critica alla sicurezza. Tracciata come CVE-2025-29927, la vulnerabilità appena scoperta è stata identificata nel framework React di Next.js, potenzialmente consentendo agli avversari di aggirare i controlli di autorizzazione sotto specifiche condizioni.
Con l’aumento delle vulnerabilità nei software ampiamente utilizzati e la loro rapida sfruttamento in attacchi reali, la richiesta di rilevamento proattivo delle minacce non è mai stata così critica. Solo nei primi due mesi del 2025, NIST ha identificato oltre 10K+ vulnerabilità, molte delle quali stanno già ponendo sfide significative ai team SOC in tutto il mondo. Man mano che le minacce informatiche diventano più sofisticate, i team di sicurezza devono concentrarsi su strategie di rilevamento precoce per superare gli attaccanti e mitigare i rischi prima che si intensifichino. Registrati sulla piattaforma SOC Prime per la difesa collettiva informatica per accedere al feed globale delle minacce attive che fornisce CTI in tempo reale e contenuti di rilevamento curati per individuare e mitigare gli attacchi sfruttando tempestivamente le emergenti CVE. Esplora una vasta libreria di regole Sigma filtrate per il tag “CVE” e supportate da una suite completa di prodotti per il rilevamento avanzato delle minacce e di caccia facendo clic Esplora Rilevamenti qui sotto.
Tutte le regole sono compatibili con più tecnologie SIEM, EDR e Data Lake e sono mappate al MITRE ATT&CK framework per semplificare l’indagine sulle minacce. Inoltre, ogni regola è arricchita con metadati dettagliati, inclusi CTI riferimenti, linee temporali degli attacchi, configurazioni di audit, raccomandazioni per il triage e altro ancora.
Analisi di CVE-2025-29927
Recentemente, una vulnerabilità critica identificata come CVE-2025-29927 è stata divulgata in Next.js, un framework web open-source. Il difetto ha ricevuto un punteggio di gravità CVSS alto di 9,1 su 10, permettendo agli attaccanti di aggirare i controlli di autorizzazione imposti tramite middleware. La vulnerabilità interessa molteplici versioni del software dalla 11.x alla 15.x, rappresentando rischi significativi per l’autorizzazione.
CVE-2025-29927 impatta specificamente il middleware di Next.js, ampiamente utilizzato per gestire l’autorizzazione, la riscrittura dei percorsi, i reindirizzamenti server-side e l’impostazione delle intestazioni di risposta come Content Security Policy (CSP). CVE-2025-29927 deriva da un difetto di progettazione nel modo in cui Next.js gestisce l’intestazione x-middleware-subrequest, originariamente destinata a prevenire loop infiniti di middleware. Quando il middleware elabora una richiesta, runMiddleware controlla questa intestazione. Se presente con un valore specifico, la richiesta supera il middleware e procede tramite NextResponse.next().
Il vendor ha avvertito che qualsiasi sito web host che si basa unicamente sul middleware per l’autorizzazione dell’utente, senza controlli aggiuntivi, è vulnerabile a CVE-2025-29927. Gli attaccanti possono sfruttarlo aggiungendo l’intestazione alle loro richieste, bypassando efficacemente i controlli di sicurezza basati su middleware e accedendo a risorse riservate, come le pagine amministrative. Più specificamente, la vulnerabilità può portare a diversi exploit, come consentire agli attaccanti di accedere a percorsi protetti senza adeguata autorizzazione, a bypassare le Content Security Policies e quindi abilitare attacchi XSS, o facilitare cache avvelenate bypassando middleware che stabiliscono controlli della cache. Data la vasta diffusione di Next.js, la facilità di sfruttamento—semplicemente aggiungendo un’intestazione HTTP—rende questa vulnerabilità particolarmente preoccupante.
Mentre le distribuzioni ospitate da Vercel sono automaticamente sicure, le applicazioni self-hosted devono applicare patch o adottare misure di mitigazione per CVE-2025-29927. Vercel, l’azienda dietro Next.js, consiglia di aggiornare alle versioni software patchate. Il problema è stato risolto nelle versioni 14.2.25 e 15.2.3 di Next.js. Se l’aggiornamento non è possibile, è consigliata una soluzione alternativa per le versioni dalla 11.1.4 alla 13.5.6. In questi casi, è consigliato bloccare le richieste esterne degli utenti contenenti l’intestazione x-middleware-subrequest dal raggiungere l’applicazione Next.js.
Data la facilità di sfruttamento e l’impatto significativo del CVE-2025-29927, è un problema ad alta priorità per gli utenti di Next.js. Si consiglia alle organizzazioni di adottare una strategia di cybersecurity proattiva per proteggersi da minacce potenziali, specialmente quando si fa ampio uso di software open-source. Suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento basata su AI, la caccia alle minacce automatica e il rilevamento avanzato delle minacce offre capacità a prova di futuro per migliorare la resilienza informatica, proteggendo contro minacce sempre più sofisticate.
