CVE-2025-29927 Next.jsミドルウェア認証バイパスの脆弱性

公表された直後に CVE-2025-24813、Apache Tomcatの新たに発見されたRCE脆弱性が公開され、PoCリリースから30時間後にすぐに悪用されたのに続いて、別の重大なセキュリティ脅威が今浮かび上がりました。CVE-2025-29927として追跡されているこの新たに発見された脆弱性は、Next.jsのReactフレームワークで特定されており、特定の条件下で対抗者が認証チェックをスキップすることを可能にする可能性があります。

広く使用されるソフトウェアの脆弱性が増加し、それが実世界での攻撃で迅速に悪用される中、プロアクティブな脅威検出の需要はかつてないほど高まっています。2025年の最初の2か月だけで、NISTは10,000件以上の脆弱性を特定しており、その多くがすでに世界中のSOCチームにとって重大な課題となっています。サイバー脅威がますます高度化する中、セキュリティチームは攻撃者に先んじてリスクを軽減するために早期検出戦略に焦点を当てる必要があります。新興のCVEを活用した攻撃をタイムリーに見つけ、軽減するために、リアルタイムCTIとキュレーションされた検出コンテンツを提供するグローバルアクティブ脅威フィードにアクセスするため、集団的サイバー防御のためにSOC Primeプラットフォームに登録してください。クリックして、「CVE」タグでフィルタされたSigmaルールの広範なライブラリを探し、 検出を探す 以下。

検出を探す

すべてのルールは複数のSIEM、EDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK フレームワークにマッピングされており、脅威の調査を効率化します。さらに、すべてのルールには、 CTI 参照、攻撃タイムライン、監査設定、トリアージの推奨事項などの詳細なメタデータが付加されています。

CVE-2025-29927 分析

最近、 CVE-2025-29927 という重大な脆弱性がオープンソースのウェブフレームワークNext.jsで公開されました。この欠陥にはCVSSの重度スコア9.1が与えられ、ミドルウェアを介して強制される認証チェックをバイパスすることを攻撃者に許可します。この脆弱性は、11.xから15.xまでの複数のソフトウェアバージョンに影響を与え、認証に重大なリスクをもたらします。

CVE-2025-29927は、主に認証、パスの書き換え、サーバーサイドリダイレクト、Content Security Policy（CSP）などのレスポンスヘッダーの設定を処理するために広く使用されるNext.jsのミドルウェアに影響を与えます。CVE-2025-29927は、Next.jsが本来無限ミドルウェアループを防ぐことを目的として処理するx-middleware-subrequestヘッダーの取扱い方法に関する設計上の欠陥から生じます。ミドルウェアがリクエストを処理するとき、runMiddlewareがこのヘッダーの有無を確認します。特定の値が存在する場合、リクエストはミドルウェアをバイパスしてNextResponse.next()で進行します。

ベンダーは、ミドルウェアのみに依存してユーザー認証を行うホストウェブサイトがCVE-2025-29927に脆弱であることを警告しました。攻撃者は、リクエストにこのヘッダーを追加することで、ミドルウェアベースのセキュリティ制御を実質的にバイパスし、管理ページなどの制限されたリソースにアクセスできます。具体的には、適切な認証なく保護されたルートにアクセスできるようになったり、内容のセキュリティポリシーをスキップしてXSS攻撃を有効にしたり、キャッシュコントロールを設定するミドルウェアをバイパスすることでポイズンキャッシュを促進するなどの複数の悪用が可能になります。Next.jsの広範な使用を考慮すると、この脆弱性の悪用の容易さ、すなわち単にHTTPヘッダーを追加するだけで可能であることは、特に懸念されます。

Vercelホステッドのデプロイメントは自動的に保護されますが、自己ホストされたアプリケーションはパッチを適用するか、CVE-2025-29927の緩和措置を採用する必要があります。Next.jsを手掛けるVercelは、 改訂されたソフトウェアバージョンへのアップデートを推奨しています。この問題は、Next.jsのバージョン14.2.25および15.2.3で解決されました。アップグレードが不可能な場合は、バージョン11.1.4から13.5.6には代替策が推奨されます。そのような場合、Next.jsアプリケーションに到達するx-middleware-subrequestヘッダーを含む外部ユーザーリクエストをブロックすることが推奨されます。 to the patched software versions. The issue has been resolved in Next.js versions 14.2.25 and 15.2.3. If upgrading is not possible, a workaround is recommended for versions 11.1.4 through 13.5.6. In such cases, it’s advised to block external user requests containing the x-middleware-subrequest header from reaching the Next.js application.

この脆弱性の悪用の容易さと重大な影響を考慮すると、Next.jsユーザーにとってCVE-2025-29927は高優先度の問題です。特にオープンソースソフトウェアに大きな依存を持つとき、潜在的な脅威に対して保護するためにプロアクティブなサイバーセキュリティ戦略を採用することが推奨されます。 SOC Primeの完全な製品スイート は、AIを利用した検出エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出を提供し、サイバーの回復力を強化し、ますます高度化する脅威からの防御を図ります。