Security-Meldung vom DFN-CERT: Next.js Auth-Schwachstelle

Es gab folgende Meldung vom DFN-Cert per Mail an die Stugen-Admins. Betroffen ist u.a. diese Anwendung hier. Die Anwendung ist derzeit offline und wird erst wieder nach eingespielten Patches online genommen.

Liebe Kolleginnen und Kollegen,

wir haben aufgrund einer kürzlich veröffentlichten Meldung zur kritischen Schwachstelle CVE-2025-29927 in der Middleware des verbreiteten Webentwicklungsframeworks Next.js möglicherweise gefährdete Systeme mit Hilfe von Censys identifiziert.

Die Schwachstelle ermöglicht einem Angreifer das Umgehen von Authentifizierungsprüfungen innerhalb einer Next.js-Anwendung. Die Ausnutzung der Schwachstelle ist trivial über einen zusätzlichen Anfrage-Header möglich.

Hinweise zum Sicherheitsproblem finden Sie beim Hersteller: https://nextjs.org/blog/cve-2025-29927

und im Detail bei Sicherheitsforschern: https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

Die Detektion erfolgte über die Host-Suche von Censys.io, bspw. https://search.censys.io/search?resource=hostsq=services.software%3A+(vendor%3D"Vercel"+and+product%3D"Next.js")

Die Schwachstelle ist mit den Versionen 12.3.5, 13.5.9, 14.2.25 und 15.2.3 der Software behoben worden. Da der Patchstand der Webanwendungen von außen nur schwer zu prüfen ist, möchten wir Sie bitten, die im Anhang genannten Systeme zu prüfen, verfügbare Sicherheitsupdates einzuspielen oder die Kommunikation nach außen möglichst einzuschränken. Falls das Sicherheitsupdate nicht eingespielt werden kann oder für die Webanwendung keines zur Verfügung steht, sollten externe Anfragen an betroffene Anwendungen blockiert werden, die den Header x-middleware-subrequest enthalten.