{"time":1742804173315,"blocks":[{"id":"J7coFSRvhV","type":"paragraph","data":{"text":"Исследователи выявили критическую уязвимость в Next.js (CVE-2025-29927), которая позволяет обойти проверки авторизации, реализованные через middleware. Проблема затрагивает версии с 11.1.4 по 15.2.2."}},{"id":"QBtMSj2lOV","type":"paragraph","data":{"text":"Уязвимость связана с тем, как фреймворк обрабатывает заголовок x-middleware-subrequest. Он задумывался как внутренний механизм защиты от бесконечной рекурсии, но злоумышленник может добавить этот заголовок в обычный запрос и тем самым отключить middleware полностью."}},{"id":"fWNLG_C2gp","type":"paragraph","data":{"text":"Это позволяет получить доступ к защищенным маршрутам — например, /dashboard/admin — даже без авторизации."}},{"id":"UI5f_839hV","type":"header2","data":{"text":"Как это работает","level":2},"tunes":{}},{"id":"LW_0z9dzvF","type":"paragraph","data":{"text":"При наличии заголовка x-middleware-subrequest с нужным значением Next.js пропускает выполнение middleware и передает запрос напрямую. Пример:"}},{"id":"f0sJilOFHV","type":"code","data":{"code":"X-Middleware-Subrequest: middleware:middleware:middleware\n","language":"html","lineNumbers":false,"startLineNumber":1,"stretched":false}},{"id":"TrU8pJsnt0","type":"paragraph","data":{"text":"Проверка выполняется до любых других ограничений, включая глубину рекурсии и логику аутентификации. В результате авторизационные механизмы полностью игнорируются."}},{"id":"e7FxwXrv4k","type":"header2","data":{"text":"Кто под ударом","level":2},"tunes":{}},{"id":"1MMyKsRDIl","type":"paragraph","data":{"text":"Подвержены все приложения, использующие Next.js:"}},{"id":"NQDAEglrcM","type":"list","data":{"style":"unordered","items":["версий 11.1.4–13.5.6","версий 14.x до 14.2.25","версий 15.x до 15.2.3"]}},{"id":"bss87PqXWl","type":"paragraph","data":{"text":"Развертывания на Vercel уже защищены, но self-hosted инсталляции уязвимы, если не обновлены или не настроены вручную."}},{"id":"0vE8etiNNF","type":"header2","data":{"text":"Риски и последствия","level":2},"tunes":{}},{"id":"vygJzEtcDr","type":"paragraph","data":{"text":"Эксплуатация уязвимости позволяет:"}},{"id":"IcFX9Pl4Ya","type":"list","data":{"style":"unordered","items":["обойти авторизацию и получить доступ к закрытым разделам;","обойти заголовки безопасности, например CSP;","влиять на кэширование контента, отравляя кэш на стороне CDN."]}},{"id":"Bg37fka6A7","type":"paragraph","data":{"text":"Для атаки не нужны специальные инструменты — только корректный заголовок в HTTP-запросе."}},{"id":"_BuotWja4j","type":"header2","data":{"text":"Как защититься","level":2},"tunes":{}},{"id":"Qf1jJ7qbla","type":"paragraph","data":{"text":"Решения два:"}},{"id":"6TSWRLxhZ1","type":"list","data":{"style":"ordered","items":["Обновиться до безопасных версий — 14.2.25 или 15.2.3.","Если обновление невозможно, заблокировать или удалить заголовок x-middleware-subrequest до того, как он попадет в Next.js."]}},{"id":"7ezyNGMWta","type":"paragraph","data":{"text":"Это можно реализовать на уровне:"}},{"id":"vjIAclq64I","type":"list","data":{"style":"unordered","items":["WAF или балансировщика (например, Cloudflare);","web-сервера (Nginx, Apache);","Express-сервера, если используется кастомная сборка."]}}],"version":"2.25.0"}

Ошибка в настройках сайта