Belangrijk lek in Next.JS kan authenticatie omzeilen

Hierdoor kunnen onbevoegde gebruikers toegang krijgen tot bijvoorbeeld adminpagina's. Om dit probleem te verhelpen, heeft Next.js beveiligingsupdates uitgebracht en adviseert het beheerders om deze patches direct te installeren. Next.js is een veelgebruikt JavaScript-framework en wordt wekelijks miljoenen keren gedownload.

Middleware kwetsbaarheid
De kwetsbaarheid, geregistreerd als CVE-2025-29927, maakt het mogelijk om autorisatiecontroles te omzeilen wanneer deze in de middlewarelaag worden uitgevoerd. Deze techniek wordt in frameworks gebruikt om code uit te voeren voordat een request wordt verwerkt. Hiermee kunnen ontwikkelaars bijvoorbeeld headers aanpassen, redirects instellen of direct reageren op een request, zoals beschreven in de documentatie van Next.js.

Next.js beschikt over eigen middleware, die veel wordt ingezet voor functies zoals path rewriting, server-side redirects en vooral authenticatie en autorisatie. Middleware wordt vaak gebruikt om bepaalde delen van een website te beschermen. Wanneer een gebruiker een adminpagina probeert te openen, controleert de middleware of de gebruiker over de juiste cookies beschikt en stuurt het verzoek vervolgens door of leidt de gebruiker om naar een inlogpagina.

Uitvoeren van lek
Onderzoekers ontdekten echter dat deze controle relatief eenvoudig te omzeilen is door een specifieke header aan een request toe te voegen. De impact van de kwetsbaarheid wordt beoordeeld met een ernstscore van 9.1 op 10. Uit een zoekopdracht via Shodan blijkt dat meer dan 300.000 Next.js-applicaties mogelijk kwetsbaar zijn. Voor beheerders die niet direct kunnen updaten, wordt aangeraden om requests met de betreffende header te blokkeren om misbruik te voorkomen.

Bron: Security.nl