Kritische Sicherheitslücke in Next.js ermöglicht Umgehung von Autorisierungen

MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Next.js, einem beliebten Open-Source-Webentwicklungsframework, sorgt derzeit für Aufsehen in der Entwicklergemeinschaft. Diese Schwachstelle, die als CVE-2025-29927 identifiziert wurde, ermöglicht es Angreifern, Autorisierungsprüfungen zu umgehen und ungehindert auf geschützte Bereiche von Webanwendungen zuzugreifen.

Die kürzlich entdeckte Schwachstelle in Next.js hat das Potenzial, die Sicherheit zahlreicher Webanwendungen zu gefährden. Next.js, das auf React basiert und von Millionen von Entwicklern weltweit genutzt wird, ist bekannt für seine Middleware-Komponenten, die unter anderem für Authentifizierung und Autorisierung sorgen. Die Sicherheitslücke betrifft alle Versionen vor 15.2.3, 14.2.25, 13.5.9 und 12.3.5 und ermöglicht es Angreifern, durch das Manipulieren eines speziellen Headers namens ‘x-middleware-subrequest’ die Sicherheitsmechanismen zu umgehen.

Die Middleware in Next.js wird normalerweise vor dem Routing einer Anfrage ausgeführt und ist entscheidend für die Implementierung von Sicherheitsmaßnahmen wie Geo-Blocking und Ratenbegrenzung. Um Endlosschleifen zu vermeiden, verwendet Next.js den ‘x-middleware-subrequest’-Header, der bestimmt, ob Middleware-Funktionen angewendet werden sollen. Wird dieser Header mit einem bestimmten Wert erkannt, wird die gesamte Middleware-Kette umgangen, was Angreifern Tür und Tor öffnet.

Die Entdecker der Schwachstelle, Allam Rachid und Allam Yasser, haben in einem technischen Bericht darauf hingewiesen, dass der Header und sein Wert als universeller Schlüssel fungieren, der es ermöglicht, bestehende Regeln zu überschreiben. Diese Sicherheitslücke betrifft insbesondere selbst gehostete Next.js-Instanzen, die mit ‘next start’ und ‘output: standalone’ betrieben werden. Anwendungen, die auf Plattformen wie Vercel oder Netlify gehostet werden, sind nicht betroffen.

Für Entwickler, die derzeit nicht in der Lage sind, auf die neuesten Versionen zu aktualisieren, wird empfohlen, externe Anfragen, die den ‘x-middleware-subrequest’-Header enthalten, zu blockieren. Dies ist eine vorübergehende Maßnahme, um die Sicherheit der Anwendungen zu gewährleisten, bis ein Update durchgeführt werden kann.

Die Entdeckung dieser Schwachstelle wirft ein Schlaglicht auf die Bedeutung von Sicherheitsupdates und die Notwendigkeit, regelmäßig auf dem neuesten Stand zu bleiben. In einer Zeit, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, dass Entwickler und Unternehmen proaktiv handeln, um ihre Systeme zu schützen.

Die Auswirkungen dieser Sicherheitslücke sind weitreichend, da Next.js von vielen großen Unternehmen wie TikTok, Twitch, Hulu, Netflix, Uber und Nike verwendet wird. Diese Unternehmen sind nun gefordert, schnell zu reagieren, um potenzielle Sicherheitsrisiken zu minimieren und das Vertrauen ihrer Nutzer zu bewahren.

Insgesamt zeigt dieser Vorfall, wie wichtig es ist, Sicherheitspraktiken in den Entwicklungsprozess zu integrieren und kontinuierlich zu verbessern. Entwickler sollten sich der Risiken bewusst sein und sicherstellen, dass ihre Anwendungen gegen die neuesten Bedrohungen geschützt sind.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen