Authorization Bypass in Next.js Middleware
Next.js 15.2.3未満で認証をバイパスできる脆弱性の通知がGitHubから飛んできたので、一応このブログもアップデートしました。
By Toshiyuki Yoshida
CVE情報
- CVE 番号: CVE-2025-29927
- GHSA コード: GHSA-f82v-jwr5-mffw
攻撃者が特定の HTTP ヘッダーを操作することで、ミドルウェアの認証チェックを迂回 し、保護されたリソースにアクセスできてしまう問題のようです。
アップデート手順
アップデートの手順は次の通りです。
# Next.jsのアップデート
npm install next@15.2.3 @next/mdx@15.2.3 eslint-config-next@15.2.3
# npx next updateでもいいか。
# アップデート後問題ないか、一応Lintをかけておく
npm run lint