Dataconomy FR
Subscribe
No Result
View All Result
Dataconomy FR
Subscribe
No Result
View All Result
Dataconomy FR
No Result
View All Result

Tiktok, Netflix et plus pourraient être exposés par le contournement de Next.js Auth

byKerem Gülen
mars 25, 2025
in Cybersécurité, Nouvelles
Home Nouvelles Cybersécurité
Share on FacebookShare on Twitter
Google Preferred Source

Une vulnérabilité critique dans le cadre de développement Web suivant. Les pirates pourraient permettre de contourner les vérifications d’autorisation. Suivi comme CVE-2025-29927le défaut permet aux attaquants d’envoyer des demandes directement sur les chemins de destination, en sautant des protocoles de sécurité cruciaux.

Next.js, un cadre de réact largement utilisé avec plus de 9 millions par semaine Téléchargements NPMest favorisé par les développeurs pour la construction d’applications Web complètes. Des entreprises comme Tiktok, Twitch, Hulu, Netflix, Uber et Nike utilisent le cadre de leurs sites et applications.

Les composants middleware dans Next.js gèrent les tâches comme l’authentification, l’autorisation, la journalisation et la redirection des utilisateurs avant qu’une demande n’atteigne le système de routage des applications. Pour éviter les boucles infinies, Next.js utilise un en-tête «X-Middleware-Suquest», qui détermine si les fonctions de middleware doivent être appliquées.

La fonction «Runmiddleware» vérifie cet en-tête. S’il est détecté avec une valeur spécifique, il contourne l’ensemble de l’exécution du middleware, transmettant la demande directement à sa destination. Un attaquant peut l’exploiter en envoyant manuellement une demande avec la bonne valeur d’en-tête.

Chercheurs Allam Rachid et Allam Yasser (Inzo_), qui a identifié le vulnérabilitéa déclaré que «l’en-tête et sa valeur agissent comme une clé universelle permettant aux règles d’être remplacées».

Le problème de sécurité affecte toutes les versions Next.js avant le 15.2.3, 14.2.25, 13.5.9 et 12.3.5. Les utilisateurs doivent mettre à niveau immédiatement, car les détails techniques pour l’exploitation de la vulnérabilité sont désormais publics.

Bulletin de sécurité de next.js spécifier Que CVE-2025-29927 affecte uniquement les versions auto-hébergées en utilisant «Next Start» avec «Output: Standalone». Les applications hébergées sur Vercel et Netlify, ou celles déployées comme des exportations statiques, ne sont pas affectées.

Les environnements où le middleware est utilisé pour les vérifications d’autorisation ou de sécurité sans validation ultérieure dans l’application est à risque.

Si le correctif n’est pas immédiatement réalisable, le plan d’action suggéré est de bloquer les demandes de l’utilisateur externes qui incluent l’en-tête «X-Middleware-Suquest».


Crédit d’image en vedette

Tags: NetflixNext.jstiktok

Related Posts

Microsoft teste la nouvelle fonctionnalité PC Insights de Copilot dans Windows 11

Microsoft teste la nouvelle fonctionnalité PC Insights de Copilot dans Windows 11

juillet 14, 2026
OpenAI abandonne le navigateur Atlas pour se concentrer sur la nouvelle superapplication ChatGPT

OpenAI abandonne le navigateur Atlas pour se concentrer sur la nouvelle superapplication ChatGPT

juillet 14, 2026
La fuite du Pixel 11 montre des couleurs vives magenta et pêche

La fuite du Pixel 11 montre des couleurs vives magenta et pêche

juillet 14, 2026
Le champ de recherche de Windows 11 est moins encombré et plus de contrôle

Le champ de recherche de Windows 11 est moins encombré et plus de contrôle

juillet 14, 2026
La mise à jour de l’algorithme X vise à rendre les réponses plus conviviales

La mise à jour de l’algorithme X vise à rendre les réponses plus conviviales

juillet 14, 2026
Xiaomi dévoile le SUV à prolongateur d’autonomie SkyNomad N90

Xiaomi dévoile le SUV à prolongateur d’autonomie SkyNomad N90

juillet 14, 2026

Recent Posts

  • Microsoft teste la nouvelle fonctionnalité PC Insights de Copilot dans Windows 11
  • OpenAI abandonne le navigateur Atlas pour se concentrer sur la nouvelle superapplication ChatGPT
  • La nouvelle théorie de la matière noire propose deux types de particules
  • Le trafic de la recherche Google a augmenté de 4 % malgré ses rivaux en matière d’IA
  • La fuite du Pixel 11 montre des couleurs vives magenta et pêche

Recent Comments

Aucun commentaire à afficher.
Dataconomy FR

COPYRIGHT © DATACONOMY MEDIA GMBH, ALL RIGHTS RESERVED.

  • Home
  • Sample Page

Follow Us

  • Home
  • Sample Page
No Result
View All Result
Subscribe

This website uses cookies to improve your experience. You can choose to accept or reject them. Visit our Privacy Policy.