Cacat keamanan kritis telah diungkapkan dalam kerangka kerja bereaksi berikutnya.
Kerentanan, dilacak sebagai CVE-2025-29927membawa skor CVSS 9,1 dari 10,0.
“Next.js menggunakan header internal x-middleware-subrestan untuk mencegah permintaan rekursif memicu loop tak terbatas,” kata Next.js dalam penasihat.
“Dimungkinkan untuk melewatkan middleware yang berjalan, yang dapat memungkinkan permintaan untuk melewatkan cek kritis – seperti validasi cookie otorisasi – sebelum mencapai rute.”
Kelemahan telah ditangani dalam versi 12.3.5, 13.5.9, 14.2.25, dan 15.2.3. Jika penambalan bukanlah opsi, disarankan agar pengguna mencegah permintaan pengguna eksternal yang berisi header subrequest X-Middleware dari mencapai aplikasi berikutnya.js.
Peneliti keamanan Rachid Allam (alias Zhero dan Cold-Trion), yang dikreditkan dengan menemukan dan melaporkan cacat, sejak itu menerbitkan rincian teknis tambahan dari cacat, menjadikannya penting bahwa pengguna bergerak cepat untuk menerapkan perbaikan.
“Kerentanan memungkinkan penyerang untuk dengan mudah memotong pemeriksaan otorisasi yang dilakukan di middleware berikutnya.
Perusahaan juga mengatakan situs web host apa pun yang menggunakan middleware untuk mengesahkan pengguna tanpa pemeriksaan otorisasi tambahan rentan terhadap CVE-2025-29927, yang berpotensi memungkinkan penyerang untuk mengakses sumber daya yang tidak sah (misalnya, halaman admin).
