◆概要
2025 年 3 月に、Web アプリケーションの開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、認可された利用者でなければ閲覧できない情報の取得や、他の利用者を侵害できる可能性があります。ソフトウェアの更新により対策してください。
◆分析者コメント
脆弱性は、特定の HTTP ヘッダーを設定するのみで悪用可能なものであり、当該ソフトウェアの普及度合いを考慮すると、IT 業界的には影響度が高い脆弱性であると考えられます。当該ソフトウェアにより認証画面が実装された Web アプリケーションを実装している場合、脆弱性の悪用による情報漏洩が起こる可能性が高いため、早急に対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.1
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-29927&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの Next.js が脆弱性の影響を受けると報告されています。
* 11 - 12 系: 11.1.4 以上、12.3.5 未満
* 13 系: 13.0.0 以上、13.5.9 未満
* 14 系: 14.0.0 以上、14.2.25 未満
* 15 系: 15.0.0 以上、15.2.3 未満
◆解説
JavaScript で Web アプリケーションを構築するための開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。
脆弱性は、認可機能の実装に用いられる Middleware のコードに存在します。脆弱なバージョンの Next.js では、認可の機能を Middleware で実装している場合、Next.js での内部リクエストを意味する x-middleware-subrequest ヘッダーが設定された HTTP リクエストを、HTTP リクエストが発生したセッションに関係なく認証に成功した利用者によるものであると認識するため、当該機能を用いて認可が実装されたアプリケーションの認証後画面へのアクセスを許可してしまいます。脆弱性の悪用により、攻撃者はアプリケーションの管理者が意図していない操作や、機密情報にアクセスできる可能性があります。
◆対策
Next.js のバージョンを以下のものにアップデートしてください。
* 11 - 12 系: 12.3.5 およびそれよりも新しいバージョン
* 13 系: 13.5.9 およびそれよりも新しいバージョン
* 14 系: 14.2.25 およびそれよりも新しいバージョン
* 15 系: 15.2.3 およびそれよりも新しいバージョン
◆関連情報
[1] Openwall
http://www.openwall.com/lists/oss-security/2025/03/23/3
[2] Openwall
http://www.openwall.com/lists/oss-security/2025/03/23/4
[3] Next.js 公式 GitHub
https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
[4] Next.js 公式 GitHub
https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48
[5] Next.js 公式 GitHub
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
[6] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
[7] CVE Mitre
https://www.cve.org/CVERecord?id=CVE-2025-29927
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して認可機能を回避する手順が公
開されています。
GitHub - vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/next.js/CVE-2025-29927
脆弱性悪用手順とともに脆弱性を再現するためのコンテナを構築する Docker Compose ファイルが公開されているため、本検証でもそれを用いています。
#--- で始まる行は執筆者によるコメントです。
2025 年 3 月に、Web アプリケーションの開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、認可された利用者でなければ閲覧できない情報の取得や、他の利用者を侵害できる可能性があります。ソフトウェアの更新により対策してください。
◆分析者コメント
脆弱性は、特定の HTTP ヘッダーを設定するのみで悪用可能なものであり、当該ソフトウェアの普及度合いを考慮すると、IT 業界的には影響度が高い脆弱性であると考えられます。当該ソフトウェアにより認証画面が実装された Web アプリケーションを実装している場合、脆弱性の悪用による情報漏洩が起こる可能性が高いため、早急に対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.1
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-29927&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの Next.js が脆弱性の影響を受けると報告されています。
* 11 - 12 系: 11.1.4 以上、12.3.5 未満
* 13 系: 13.0.0 以上、13.5.9 未満
* 14 系: 14.0.0 以上、14.2.25 未満
* 15 系: 15.0.0 以上、15.2.3 未満
◆解説
JavaScript で Web アプリケーションを構築するための開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。
脆弱性は、認可機能の実装に用いられる Middleware のコードに存在します。脆弱なバージョンの Next.js では、認可の機能を Middleware で実装している場合、Next.js での内部リクエストを意味する x-middleware-subrequest ヘッダーが設定された HTTP リクエストを、HTTP リクエストが発生したセッションに関係なく認証に成功した利用者によるものであると認識するため、当該機能を用いて認可が実装されたアプリケーションの認証後画面へのアクセスを許可してしまいます。脆弱性の悪用により、攻撃者はアプリケーションの管理者が意図していない操作や、機密情報にアクセスできる可能性があります。
◆対策
Next.js のバージョンを以下のものにアップデートしてください。
* 11 - 12 系: 12.3.5 およびそれよりも新しいバージョン
* 13 系: 13.5.9 およびそれよりも新しいバージョン
* 14 系: 14.2.25 およびそれよりも新しいバージョン
* 15 系: 15.2.3 およびそれよりも新しいバージョン
◆関連情報
[1] Openwall
http://www.openwall.com/lists/oss-security/2025/03/23/3
[2] Openwall
http://www.openwall.com/lists/oss-security/2025/03/23/4
[3] Next.js 公式 GitHub
https://github.com/vercel/next.js/commit/52a078da3884efe6501613c7834a3d02a91676d2
[4] Next.js 公式 GitHub
https://github.com/vercel/next.js/commit/5fd3ae8f8542677c6294f32d18022731eab6fe48
[5] Next.js 公式 GitHub
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
[6] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-29927
[7] CVE Mitre
https://www.cve.org/CVERecord?id=CVE-2025-29927
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して認可機能を回避する手順が公
開されています。
GitHub - vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/next.js/CVE-2025-29927
脆弱性悪用手順とともに脆弱性を再現するためのコンテナを構築する Docker Compose ファイルが公開されているため、本検証でもそれを用いています。
#--- で始まる行は執筆者によるコメントです。
