CVE-2025-29927

plus petit que 1 minute de lecture

Mis à jour : December 26, 2025

Contournement d’Authentification dans Next.js

Une faille de sécurité dans le framework Next.js permet de contourner les étapes de validation des middlewares, rendant ainsi inefficaces les contrôles d’autorisation d’accès aux ressources. L’exploitation de cette vulnérabilité est relativement simple et pourrait potentiellement être utilisée à grande échelle, bien qu’une analyse manuelle soit souvent nécessaire pour identifier les chemins d’accès non authentifiés.

Points Clés :

La vulnérabilité affecte les déploiements utilisant next start et output: 'standalone'.
Les applications utilisant uniquement les fonctionnalités front-end de Next.js ne sont pas concernées.
Les Web Application Firewalls (WAF) populaires comme Cloudflare ont déjà mis en place des règles de détection.

Vulnérabilités :

CVE-2025-29927 : Permet le contournement de la validation des middlewares pour accéder à des ressources sans authentification.

Recommandations :

Mettre à jour les déploiements utilisant next start et output: 'standalone' en priorité vers les versions corrigées.
Ne pas se fier exclusivement aux WAF pour la protection, car des contournements futurs sont possibles.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-29927

Contournement d’Authentification dans Next.js

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast