CVE-2025-29927

1 minute de lecture

Mis à jour : September 19, 2025

Contournement d’authentification dans Next.js via CVE-2025-29927

Une faille de sécurité critique a été identifiée dans Next.js, permettant le contournement des mécanismes d’authentification et l’accès non autorisé à des ressources protégées. Cette vulnérabilité, référencée CVE-2025-29927, est jugée simple à exploiter et potentiellement déployable à grande échelle, bien qu’une analyse préalable des routes vulnérables soit probable.

Points clés :

Nature de la faille : Contournement de la validation par le middleware, autorisant l’accès à des ressources sans authentification préalable.
Complexité de l’exploit : Facile à utiliser.
Impact potentiel : Exploitation en masse, potentiellement facilitée par l’identification de routes non sécurisées.
Conditions de vulnérabilité : Concerne les applications utilisant next start et output: 'standalone'. Les applications utilisant uniquement la partie front-end de Next.js ne sont pas affectées.

Vulnérabilité :

CVE : CVE-2025-29927

Recommandations :

Mise à jour prioritaire : Il est impératif de mettre à jour les déploiements utilisant next start et output: 'standalone' vers une version corrigée.
Solutions WAF : Bien que des WAF comme Cloudflare aient déjà intégré des règles de détection, il ne faut pas s’y fier exclusivement. Des contournements ou des approches d’exploitation alternatives pourraient émerger. La protection ne doit pas reposer uniquement sur un WAF.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-29927

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast