Belangrijk lek in Next.JS kan authenticatie omzeilen
Een kritieke kwetsbaarheid in Next.js stelt aanvallers in staat om in bepaalde situaties de authenticatie van webapplicaties te omzeilen. Hierdoor kunnen onbevoegde gebruikers toegang krijgen tot bijvoorbeeld adminpagina's. Om dit probleem te verhelpen, heeft Next.js beveiligingsupdates uitgebracht en adviseert het beheerders om deze patches direct te installeren. Next.js is een veelgebruikt JavaScript-framework en wordt wekelijks miljoenen keren gedownload.
Middleware kwetsbaarheid
De kwetsbaarheid, geregistreerd als CVE-2025-29927, maakt het mogelijk om autorisatiecontroles te omzeilen wanneer deze in de middlewarelaag worden uitgevoerd. Deze techniek wordt in frameworks gebruikt om code uit te voeren voordat een request wordt verwerkt. Hiermee kunnen ontwikkelaars bijvoorbeeld headers aanpassen, redirects instellen of direct reageren op een request, zoals beschreven in de documentatie van Next.js.
Next.js beschikt over eigen middleware, die veel wordt ingezet voor functies zoals path rewriting, server-side redirects en vooral authenticatie en autorisatie. Middleware wordt vaak gebruikt om bepaalde delen van een website te beschermen. Wanneer een gebruiker een adminpagina probeert te openen, controleert de middleware of de gebruiker over de juiste cookies beschikt en stuurt het verzoek vervolgens door of leidt de gebruiker om naar een inlogpagina.
Uitvoeren van lek
Onderzoekers ontdekten echter dat deze controle relatief eenvoudig te omzeilen is door een specifieke header aan een request toe te voegen. De impact van de kwetsbaarheid wordt beoordeeld met een ernstscore van 9.1 op 10. Uit een zoekopdracht via Shodan blijkt dat meer dan 300.000 Next.js-applicaties mogelijk kwetsbaar zijn. Voor beheerders die niet direct kunnen updaten, wordt aangeraden om requests met de betreffende header te blokkeren om misbruik te voorkomen.
Bron: Security.nl
Meer nieuws
17/04/2025 Nederlandse domein van Google verwijst straks naar Google.com
13/02/2025 Google dicht privacylek in YouTube
12/02/2025 Storing bij Cloudflare kwam door uitvoeren van abusemelding
11/02/2025 Kabinet wil boetes hostingproviders voor niet verwijderen content openbaren
05/01/2025 Ontwikkelaar maakt op DOOM gebaseerde captcha
10/12/2024 Hackers stelen keys door JS-library van Solana-apps over te nemen
08/12/2024 Miljoenensubsidie voor programmeren in het basis- en middelbaar onderwijs
15/11/2024 Google's VirusTotal krijgt nieuw IP-adres
05/11/2024 SIDN mag nl-domeinen op verzoek meldpunt internetoplichting direct offline halen
04/11/2024 Inlogdienst Okta accepteerde elk wachtwoord in bepaalde situaties
Om te reageren heb je een account nodig en je moet ingelogd zijn.