Downloading @next/swc-darwin-arm64@15.2.3: 41.23 MB/41.23 MB, done
dependencies:
- next 15.1.0
+ next 15.2.3
Done in 4m 38.6s
NextJS auth middware 漏洞
漏洞编号:CVE-2025-29927 / GHSA-f82v-jwr5-mffw 漏洞类型:授权绕过( CWE-285 ) 严重级别:严重( Critical ) CVSS 评分:9.1/10.0 影响版本:
11.1.4 至 13.5.6 14.0 至 14.2.24 15.0 至 15.2.2
此漏洞允许攻击者通过添加特定 HTTP 请求头( x-middleware-subrequest )完全绕过在 Next.js 中间件中实现的授权检查,从而获取对受保护资源的未授权访问。由于许多 Next.js 应用仅在中间件层实现授权逻辑,这使得该漏洞的影响范围极广且危害严重。
虽然 Vercel 修了但是没有完全修,self host 的 nextjs 用户还是会遇到问题
Cloudflare 和 Vercel CEO 直接推特中门互狙。。。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.