CVE-2025-29927：Next.js中间件绕过漏洞POC

原创 z1 Z1sec 2025-04-06 22:50

免责声明：

由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

漏洞介绍：

Next.js使用内部标头x-middleware-subrequest来防止递归请求触发无限循环。该安全漏洞表明，可以跳过运行中间件，这可能允许请求在到达路由之前绕过关键检查，如授权cookie验证。

POC地址：

https://github.com/aydinnyunus/CVE-2025-29927