CVE-2025-29927

Faille d’authentification dans Next.js : CVE-2025-29927

Une vulnérabilité critique a été identifiée dans le framework Next.js, portant le numéro CVE-2025-29927. Elle permet à un attaquant de contourner les étapes de validation des middlewares, potentiellement pour accéder à des ressources normalement protégées. L’exploitation semble relativement simple, bien qu’une identification manuelle des routes vulnérables soit probablement nécessaire.

Points clés :

• Nature de la faille : Contournement de l’authentification (Authentication Bypass).
• Impact : Permet à un attaquant d’accéder à des ressources non autorisées en sautant les contrôles de validation.
• Facilité d’exploitation : Simple à utiliser, mais requiert une phase d’identification des routes exposées.
• Ciblage : Les déploiements utilisant next start et output: 'standalone' sont particulièrement concernés.

Vulnérabilité :

• CVE : CVE-2025-29927

Recommandations :

• Mise à jour immédiate : Les applications utilisant Next.js, en particulier celles configurées avec next start et output: 'standalone', doivent être mises à jour en priorité vers une version corrigée.
• Prudence avec les WAF : Bien que certains Web Application Firewalls (WAF) comme Cloudflare aient déjà intégré des règles de détection, il ne faut pas s’y fier exclusivement pour la protection, car des contournements futurs sont possibles. La protection principale doit venir de la correction du code.
• Limitations de la faille : Les applications utilisant uniquement les fonctionnalités front-end de Next.js ne sont pas affectées.

Source