Ghost Route 检测 Next JS 中间件绕过漏洞 (CVE-2025-29927) 的攻击

发布于 作者:

Ghost Route 检测 Next JS 中间件绕过漏洞 (CVE-2025-29927) 的攻击

TtTeam 2025-05-20 08:38

允许攻击者通过发送自定义标头来绕过身份验证并访问受保护的路由x-middleware-subrequest。

受影响的下一个 JS 版本:11.1.4 及更高版本 

python ghost-route.py <url> <path> <show_headers>

  • :Next.js 网站的基本 URL(例如https://example.com)

  • :受保护的测试路径(默认值:/admin)

  • :显示响应头(默认值:False)

https://github.com/takumade/ghost-route