一、漏洞详情

Next.js是一个基于React的开源框架，旨在为开发者提供构建高性能、可扩展的Web应用程序的工具。

近日，监测到一则NextJS组件存在 绕过认证漏洞（CVE-2025-29927）。Next.js的middleware存在一个认证绕过漏洞，如果授权检查发生在middleware 中，则可以在Next.js应用程序中绕过授权检查，导致数据泄露、未经授权的操作和服务中断。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

目前受影响的NextJS版本：

11.1.4 < Next.js ≤ 13.5.6

14.0 < Next.js < 14.2.25

15.0 < Next.js < 15.2.3

三、修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将NextJs更新到以下版本：

Next.js 14.2.25

Next.js 15.2.3