1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927)

Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927)

セキュリティニュース

投稿日時: 更新日時:

Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927)

Next.jsの危険度の高い脆弱性(CVE-2025-29927)が修正されました。パッチはリリースされているので早期適用を推奨します。

脆弱性の対象バージョン

 Next.js バージョン 11.1.4 から 13.5.6 を実行している場合、最新のパッチを適用することができないので回避策かバージョンアップの適用を推奨します。

脆弱性の対策バージョン

  • Next.js 15.xではバージョン15.2.3
  • Next.js 14.xではバージョン14.2.25

脆弱性の概要

ミドルウェアで認証チェックが行われる場合、Next.jsアプリケーション内で認証チェックをバイパスすることが可能です。

攻撃者はこの欠陥を悪用し、認証されていない状態でも保護されたリソースへアクセスすることが可能になります。これは、情報漏えいや不正操作、サービス停止など深刻な被害に直結する可能性があります。

回避策

バージョンアップによるパッチ適用が不可能な場合は、x-middleware-subrequestヘッダーを含む外部ユーザー リクエストが Next.js アプリケーションに到達しないようにすることをお勧めします。

このヘッダーは、脆弱性を悪用するための重要なコンポーネントでありこのヘッダーを含むリクエストをブロックすると、一時的な保護層を提供できます。

一部参照

Urgent: Patch Your Next.js for Authorization Bypass (CVE-2025-29927)

関連記事

Default ThumbnailF5のBIG-IP Next Central Managerで脆弱性 デバイス乗っ取りが可能に(CVE-2024-26026、CVE-2024-21793) Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能にNext.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能に Next.jsで認証バイパスの脆弱性(CVE-2024-51479)Next.jsで認証バイパスの脆弱性(CVE-2024-51479) WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593)WatchGuardで重大な脆弱性が発見(CVE-2024-6592,CVE-2024-6593) シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082)シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082) Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591)FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591) OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)