Next.js ist ein Open-Source-Webentwicklungsframework des privaten Unternehmens Vercel, das React-basierte Webanwendungen mit serverseitigem und statischem Rendering bereitstellt. Im März 2025 wurden Details zu einer Sicherheitslücke mit der Bezeichnung CVE-2025-29927 veröffentlicht.
Am 22. März 2025 gab Next.js eine Sicherheitslücke im Middleware-Layer bekannt, die eine Umgehung der Authentifizierung ermöglichte. Die Ausnutzung ist trivial und kann durch das Senden eines zusätzlichen HTTP-Headers mit dem Inhalt „x-middleware-subrequest: true“ erreicht werden.
Die Sicherheitslücke CVE-2025-29927 wird nach dem sogenannten CVSSv3 Base Score mit 9.1 eingestuft. Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit würde es einem Remote-Angreifer ermöglichen, die im Middleware-Layer implementierten Sicherheitsprüfungen, darunter viele Formen der Authentifizierung, zu umgehen. Damit werden schlussendlich Applikationspunkte öffentlich, die eigentlich geschützt wären.
Es stehen Patches bereit:
Für Next.js 15.x wurde dieses Problem in Version 15.2.3 behoben.
Für Next.js 14.x wurde dieses Problem in Version 14.2.25 behoben.
Für die Next.js-Versionen 11.1.4 bis 13.5.6 empfehlen wir die Nutzung der folgenden Problemumgehung.
Hinweis: Auf Vercel gehostete Next.js-Bereitstellungen sind automatisch vor dieser Sicherheitslücke geschützt.
Wenn das Patchen auf eine sichere Version nicht möglich ist, wird empfohlen zu verhindern, dass externe Benutzeranforderungen, die den Header „x-middleware-subrequest“ enthalten, die Next.js-Anwendung erreichen können.
Laut Shodan lassen sich weltweit über 300.000 Systeme mit dem Header „X-Powered-By: Next.js“ finden:
In Deutschland sind laut dem Dienst über 33.000 Systeme erreichbar. Es ist jedoch wichtig zu beachten, dass das nur die Systeme sind, die als außen so identifizierbar sind und öffentlich erreichbar sind. Die Dunkelziffer der betroffenen Systeme ist vermutlich höher.
In den letzten 9 Jahren hat Next.js insgesamt 16 Security Advisories veröffentlicht. Die nun beschriebene Lücke (CVE-2025-29927) wurde als erste als kritisch eingestuft. Es besteht dringender Handlungsbedarf und die Sicherheitslücke sollte zeitnah geschlossen werden.
Die Entdecker der Sicherheitslücke legen in einem ausführlichen Blogpost dar, wie sie diese gefunden haben.