Next.js Framework: ช่องโหว่ CVE-2025-29927 ระดับคะแนน 9.1 ยอมให้ผู้ร้าย bypass การทำ authentication ได้

นิตยสารออนไลน์ Cyber Security News ลงข่าวซ้ำ เรื่องช่องโหว่ CVE-2025-29927 มีคะแนนความรุนแรง 9.1 ใน

Next.js Framework (ในส่วน Next.js Middleware)

ผู้ร้ายสามารถเรียกใช้ Header ชื่อ ‘x-middleware-subrequest’ ด้วยค่าพิเศษ หลอกให้ Next.js เข้าใจผิดว่าเป็นการเรียกใช้ภายในระบบเอง จึงข้ามขั้นตอน Authorization Check โดยสิ้นเชิง

ที่จริงช่องโหว่นี้ทราบมาตั้งแต่ มีนาคม 2568 แล้ว

Next.js ได้ออก Release ใหม่อุดช่องโหว่แล้ว

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านประกาศของ Next.js ได้ที่:

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

อ่านข่าวฉบับเต็มของ Cyber Security News ได้ที่:

Critical Next.js Middleware Vulnerability Let Attackers Gain Unauthorized Access

และ

Critical Next.js Framework Vulnerability Let Attackers Bypass Authorization

อ่านการวิเคราะห์ช่องโหว่อย่างละเอียดได้ที่:

https://nullsecurityx.codes/cve-2025-29927-nextjs-middleware-authorization-bypass

และ

https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware