Patch NextJS - Faille critique - CVE-2025-29927

CVE-2025-29927 : cette faille critique dans Next.js menace de nombreuses applications

24/03/2025 Florian BURNEL 0 commentaire

Une faille de sécurité critique a été identifiée dans Next.js, un framework React prisé pour la création d'applications web et téléchargé des dizaines de millions de fois. Cette vulnérabilité menace de nombreuses applications. Quels sont les risques ? Faisons le point.

"Next.js est un framework gratuit et open source s'appuyant sur la bibliothèque JavaScript React et sur la technologie Node.js.", c'est ainsi que ce framework est décrit sur Wikipédia. Dans le cas présent, la vulnérabilité concerne l'utilisation de Next.js en tant que middlewares.

CVE-2025-29927 : une menace pour les applications basées sur Next.js

La nouvelle faille de sécurité associée à la référence CVE-2025-29927 (score CVSS 9.1) permet aux attaquants de contourner les contrôles de sécurité mis en place par Next.js, mettant en péril l'authentification, selon un rapport de Zeropath. Pour être plus précis, cette vulnérabilité permet de contourner la logique d'autorisation du middleware, ce qui peut offrir à un attaquant un accès non autorisé à des zones protégées de l'application. Ce même document donne des détails sur l'exploitation de cette vulnérabilité.

D'un point de vue technique, la faille de sécurité CVE-2025-29927 repose sur la manipulation de l'en-tête x-middleware-subrequest. Dans les versions antérieures à Next.js 12.2, cet en-tête pouvait être construit comme suit :

x-middleware-subrequest: pages/_middleware

Pour les versions plus récentes, l'attaque repose sur une répétition du mot-clé middleware :

x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

Dans les configurations utilisant le répertoire src, il est nécessaire d'adapter l'en-tête en remplaçant middleware par src/middleware.

Les applications basées sur une version vulnérable de Next.js sont exposées. L'article de blog publié par Next.js apporte des précisions sur les scénarios où l'application peut être vulnérable. "Cela vous concerne si vous vous appuyez sur un Middleware pour les contrôles d'authentification ou de sécurité, qui ne sont pas validés par la suite dans votre application.", peut-on lire.

CVE-2025-29927 : versions affectées et mesures de mitigation

Pour se protéger contre cette faille, les développeurs et les administrateurs doivent utiliser l'une de ces versions :

Pour Next.js 15.x, ce problème est corrigé dans la version 15.2.3
Pour Next.js 14.x, ce problème est corrigé dans la version 14.2.25
Pour Next.js 13.x, ce problème est corrigé dans la version 13.5.9
Pour Next.js 12.x, ce problème est corrigé dans la version 12.3.5

Par ailleurs, sachez que toutes les versions à partir de 11.1.4 sont vulnérables et qu'il n'y a pas de correctif pour la branche Next.js 11.X.

Dans le cas où l'installation du correctif n'est pas envisageable dans l'immédiat, voici les recommandations : "il est recommandé d'empêcher les requêtes d'utilisateurs externes contenant l'en-tête x-middleware-subrequest d'atteindre votre application Next.js."

Cette faille de sécurité découverte dans Next.js, un framework largement utilisé, pourrait être exploitée par les attaquants dans un avenir proche. Patchez.

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète