Next.js Version 15.2.3 schließt eine kritische Sicherheitslücke, mit der Angreifer unter Umständen die Autorisierung umgehen können. Rückportierte Patches seien ebenfalls verfügbar, kündigen die Entwickler an.
Die Sicherheitslücke (CVE-2025-29927) in Next.js betrifft selbst-gehostete Versionen. Die Entwickler empfehlen deshalb, alle selbst gehosteten Next.js-Implementierungen, die „next start“ und „output: ‘standalone’“ verwenden, sofort zu aktualisieren.
Next.js verwendet einen internen Header x-middleware-subrequest, um zu verhindern, dass rekursive Anfragen Endlosschleifen auslösen. Der Sicherheitsbericht zeige, dass es möglich war, die Ausführung von Middleware zu überspringen, wodurch Anfragen kritische Prüfungen – wie die Validierung von Autorisierungs-Cookies – überspringen konnten.
Nicht betroffen sind auf Vercel und Netlify gehostete Anwendungen sowie solche, die als statische Exporte bereitgestellt werden (Middleware wird nicht ausgeführt).
Next.js ist ein Open-Source-Framework für die Webentwicklung, das von dem privaten Unternehmen Vercel entwickelt wurde und React-basierte Webanwendungen mit serverseitigem Rendering und statischem Rendering bietet.
