CVE-2025-29927: Kritische Sicherheitslücke in Next.js Middleware erlaubt Auth-Bypass

Eine kritische Schwachstelle in Next.js ermöglicht es Angreifern, die gesamte Authentifizierung und Autorisierung einer Webanwendung zu umgehen. Durch das Spoofing eines internen Headers kann die Middleware-Logik vollständig übersprungen werden, was unauthentifizierten Zugriff auf jede geschützte Route gewährt. Die Sicherheitslücke mit der hohen CVSS-Bewertung von 9.1 betrifft alle Next.js-Versionen ab 15.0.0 bis vor 15.2.3.

Der Angriff ist technisch einfach auszuführen. Ein Angreifer muss lediglich einen speziell präparierten HTTP-Request mit dem Header `x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware` senden. Dies führt dazu, dass die gesamte Logik in der `middleware.ts` oder `middleware.js` Datei umgangen wird. Besonders kritisch ist die Situation für Projekte, die keine Lockfile verwenden und die Version `^15.0.0` deklarieren, da diese aktuell auf eine anfällige Version auflösen können.

Die Schwachstelle stellt ein erhebliches Risiko für die Sicherheit von Tausenden von Webanwendungen dar. Betreiber müssen umgehend auf die gepatchte Version `[email protected]` aktualisieren. Die Lücke unterstreicht die Gefahr, sich bei der Sicherheit ausschließlich auf Middleware-Logik zu verlassen, und zeigt die Notwendigkeit einer mehrschichtigen Verteidigungsstrategie. Entwickler sollten ihre Abhängigkeiten sofort überprüfen und gegebenenfalls ein Lockfile verwenden, um unerwartete und unsichere Versionen zu verhindern.