Nieuws
image

Kritiek lek in Next.js laat aanvaller authenticatie webapplicaties omzeilen

maandag 24 maart 2025, 13:24 door Redactie, 2 reacties

Een kritieke kwetsbaarheid in Next.js maakt het mogelijk voor aanvallers om in bepaalde gevallen de authenticatie van webapplicaties te omzeilen en zo toegang tot bijvoorbeeld adminpagina's te krijgen. Er zijn beveiligingsupdates beschikbaar gemaakt om het probleem te verhelpen. Next.js adviseert beheerders om deze patches meteen te installeren. Next.js is een populair JavaScript-framework voor het ontwikkelen van webapplicaties en wordt ruim negen miljoen keer per week gedownload.

Het beveiligingslek (CVE-2025-29927) maakt het mogelijk om in Next.js-gebaseerde applicaties de autorisatiecontroles te omzeilen als deze controles in de middlewarelaag plaatsvinden, waaronder 'veel vormen van authenticatie', aldus de bekende beveiligingsonderzoeker HD Moore. Middleware maakt het mogelijk om code te draaien voordat een request wordt voltooid. Op basis van het inkomende request is het mogelijk om de response aan te passen door de request of response headers te herschrijven, te redirecten of aan te passen, of direct te reageren, aldus de documentatie van Next.js.

Next.js beschikt over eigen middleware, die volgens de onderzoekers die het probleem ontdekten veel wordt gebruikt. Het gaat dan bijvoorbeeld om path rewriting, server-side redirects, het toevoegen van elementen aan de response, zoals bepaalde headers en als belangrijkste authenticatie en autorisatie. Zo wordt middleware gebruikt voor autorisatie, om bijvoorbeeld bepaalde paths te beschermen. Wanneer een gebruiker toegang probeert te krijgen tot een adminpagina, gaat het verzoek eerst langs de middleware, die controleert of de gebruiker over geldige en de juiste cookies beschikt. Vervolgens stuurt de middleware het request door. Anders gaat het request naar een inlogpagina.

De onderzoekers ontdekten dat het eenvoudig is om de controle door de middleware, door het toevoegen van een specifieke header, te omzeilen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Een zoekopdracht via zoekmachine Shodan levert meer dan driehonderdduizend hits op, aldus HD Moore. Beheerders die niet naar een nieuwe versie kunnen updaten wordt aangeraden om requests van gebruikers die de betreffende header bevatten te blokkeren, om zo te voorkomen dat die bij de Next.js-applicatie aankomen.

Reacties (2)
Reageer met quote
24-03-2025, 14:23 door Anoniem
En daarom schrijf je de back-end niet in een programmeertaal voor front-end!
Reageer met quote
24-03-2025, 16:00 door Anoniem
Door Anoniem: En daarom schrijf je de back-end niet in een programmeertaal voor front-end!
De fout zit niet in de programmeertaal maar in het framework dat ze erin geschreven hebben. De bug had er net zo goed in kunnen zitten als ze daar een andere programmeertaal voor hadden gebruikt. Als je met een hamer de spijker mist en op je duim slaat ligt de pijn niet aan het merk van de hamer maar aan het feit dat je ermee op je duim slaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure