CVE-2025-29927
Mis à jour :
Contournement d’authentification dans Next.js : CVE-2025-29927
Une faille de sécurité critique, identifiée sous le nom de CVE-2025-29927, a été découverte dans le framework Next.js. Elle permet à des attaquants de contourner les mécanismes de validation d’authentification, donnant accès à des ressources normalement protégées. L’exploitation de cette vulnérabilité est relativement simple et peut être menée à grande échelle, bien que la découverte de routes vulnérables puisse nécessiter une analyse manuelle.
Points Clés :
- Nature de la vulnérabilité : Contournement d’authentification.
- Impact : Permet l’accès non autorisé à des ressources protégées par des étapes de validation de middleware.
- Complexité de l’exploit : Facile à utiliser, mais l’identification des routes cibles peut demander un effort manuel.
- Portée : Concerne les applications utilisant Next.js. Les applications purement front-end ne sont pas affectées.
Vulnérabilités :
- CVE-2025-29927 : Permet de contourner les étapes de validation du middleware pour accéder à des ressources sans authentification.
Recommandations :
- Mise à jour prioritaire : Les déploiements utilisant
next startetoutput: 'standalone'doivent être mis à jour dès que possible vers les versions corrigées. - Ne pas se fier uniquement aux WAF : Bien que des WAF populaires aient déjà intégré des règles de détection, il ne faut pas compter uniquement sur cette protection. Des recherches futures pourraient trouver des moyens de contourner ces mesures. Une correction directe du code est la méthode de protection la plus fiable.