Фреймворк с открытым исходным кодом Next.js Пострадал от Критической Уязвимости в Безопасности

Недавно исследователи обнаружили уязвимость в системе безопасности Next.js, широко используемого открытого фреймворка React, позволяющую злоумышленникам обходить авторизацию в промежуточном программном обеспечении и получать доступ к системам. Этот недостаток, обозначенный как CVE-2025-29927, был устранен компанией Vercel.

Согласно Cyberscoop, исследователи в области кибербезопасности Аллам Яссер и Аллам Рашид обнаружили уязвимость 27 февраля и сообщили о ней Vercel, облачной компании, которая создала и поддерживает Next.js.

Vercel признала наличие уязвимости и выпустила патчи для всех затронутых версий примерно через две недели. В прошлую пятницу компания также опубликовала предупреждение о безопасности.

«Мы рекомендуем, чтобы все самостоятельно развернутые развертывания Next.js, использующие next start и output: ‘standalone’, немедленно обновились», — говорится в сообщении Next.js.

Документ объясняет, что затронутыми являются приложения, которые размещаются самостоятельно и в настоящее время используют Middleware. Приложения, размещенные на Vercel, Netlify или «развернутые как статические экспорты», не подвержены уязвимости CVE-2025-29927. Тем, кто использует Cloudflare, рекомендуется включить управляемое правило WAF.

«Мы не знаем о каких-либо активных эксплуатациях», — сказал Тай Сбано, главный информационный безопасник (CISO) в Vercel, Cyberscoop. «Если кто-то размещает приложение Next.js вне Vercel, мы не сможем увидеть их рабочую среду или их аналитику. Платформы, такие как Vercel и Netlify, не были затронуты».

Компания, работающая с облачными технологиями, не обладает точными данными о том, сколько приложений, использующих Next.js, активно на самоуправляемых платформах.

Рашид поделился статьей на этом блоге, Next.js и коррупционное промежуточное программное обеспечение: авторизационный артефакт, с подробностями их исследования, раскрывающего уязвимость, которая затрагивает миллионы пользователей.

«Критическая уязвимость может возникнуть в любом программном обеспечении, но когда она затрагивает один из самых популярных фреймворков, это становится особенно опасным и может иметь серьезные последствия для всей экосистемы,» — написала Рашида.

Эксперт также затронула вопрос о времени реакции компании на устранение риска. “На устранение уязвимости командой Vercel ушло несколько дней, но стоит отметить, что как только они узнали о ней, исправление было совершено, слияние проведено и реализовано в новом релизе в течение нескольких часов (включая обратные порты).”

Несколько дней назад эксперты по кибербезопасности из Pillar Security недавно обнаружили уязвимость в двух популярных помощниках по кодированию, GitHub Copilot и Cursor.