Vulnerabilità Next.js Critica: Scoperto Difetto che Aggira i Controlli di Autorizzazione, Rischio Elevato!

News
Visite: 65

Una vulnerabilità critica è stata scoperta nel framework React Next.js, che potrebbe essere potenzialmente sfruttata per aggirare i controlli di autorizzazione in determinate condizioni. Questa vulnerabilità, identificata come CVE-2025-29927, ha un punteggio CVSS di 9.1 su 10, segnalando un rischio significativo. Next.js utilizza un'intestazione interna, x-middleware-subrequest, per prevenire richieste ricorsive che potrebbero innescare loop infiniti. Tuttavia, è stato riscontrato che è possibile evitare l'esecuzione del middleware, consentendo così alle richieste di bypassare controlli critici come la validazione dei cookie di autorizzazione prima di raggiungere le rotte.

Dettagli sulla vulnerabilità

È importante notare che CVE-2025-29927 interessa solo le versioni self-hosted che utilizzano "next start" con "output: standalone". Le applicazioni Next.js ospitate su Vercel e Netlify, o distribuite come esportazioni statiche, non sono interessate. Il problema è stato risolto nelle versioni 12.3.5, 13.5.9, 14.2.25 e 15.2.3. Se l'aggiornamento non è un'opzione, si raccomanda di impedire che le richieste esterne degli utenti contenenti l'intestazione x-middleware-subrequest raggiungano l'applicazione Next.js.

Scoperta e segnalazione

Il ricercatore di sicurezza Rachid Allam, noto anche come zhero e cold-try, che ha scoperto e segnalato il difetto, ha pubblicato ulteriori dettagli tecnici sulla vulnerabilità, rendendo imperativo che gli utenti applichino rapidamente le correzioni. La vulnerabilità consente agli attaccanti di aggirare facilmente i controlli di autorizzazione eseguiti nel middleware di Next.js, potenzialmente consentendo l'accesso a pagine web sensibili riservate agli amministratori o ad altri utenti con privilegi elevati.

Dichiarazioni di JFrog

JFrog ha dichiarato che qualsiasi sito Web host che utilizza il middleware per autorizzare gli utenti senza ulteriori controlli di autorizzazione è vulnerabile a CVE-2025-29927, consentendo potenzialmente agli attaccanti di accedere a risorse altrimenti non autorizzate, come le pagine degli amministratori. La rapida applicazione delle patch è quindi essenziale per proteggere le applicazioni Next.js da questo serio difetto di sicurezza.

Pin It
, , , ,

Per rimanere aggiornato iscriviti alla nostra newsletter

Form by ChronoForms - ChronoEngine.com

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta