Koelman.IT

Stay Hungry, Stay Foolish 💡


Beveiligingsadvies NCSC-2025-0096 [1.00] [M/H] Kwetsbaarheid verholpen in Next.js

Een kwetsbaarheid in Next.js, een populair framework voor webapplicatie-ontwikkeling, is opgelost. Vercel, het bedrijf achter Next.js, heeft specifiek updates uitgebracht voor versies 14.2.25 en 15.2.3 om deze kwetsbaarheid aan te pakken. Het probleem lag in de wijze waarop Next.js authenticatiecontroles in zijn middleware verwerkte, waardoor ongeautoriseerde toegang mogelijk werd tot gevoelige gegevens en functionaliteiten, waaronder mogelijk de beheerinterface van getroffen applicaties.

Details van de Kwetsbaarheid

De kwetsbaarheid stelde kwaadwillenden in staat om authenticatiecontroles te omzeilen. Dit vormde een hoog risico omdat het ongeoorloofde toegang kon geven tot gevoelige gegevens binnen een applicatie. Deze beveiligingsfout is gecategoriseerd onder CVE-2025-29927.

Impact en Reikwijdte

De kwetsbaarheid heeft betrekking op Next.js-versies groter dan 14.0.0 en specifieke versies, namelijk 11.1.4 en hoger. Hoewel het risico als hoog wordt ingeschat, zijn er maatregelen om de impact te minimaliseren voor systemen die nog niet konden worden geüpdatet.

Oplossingen en Mitigerende Maatregelen

Vercel heeft updates vrijgegeven om deze kwetsbaarheid te verhelpen. Voor systemen die niet onmiddellijk kunnen worden bijgewerkt, adviseert Vercel het blokkeren van externe verzoeken die de ‘x-middleware-subrequest’ header bevatten als tijdelijke maatregel om het risico van misbruik te verkleinen. Voor meer informatie en gedetailleerde update-instructies, kunt u de volgende link raadplegen.

Referenties en Documentatie

Voor meer gedetailleerde informatie en technische details zijn er verschillende formaten beschikbaar:

Het Nationaal Cyber Security Centrum (NCSC) heeft met zorg dit advies opgesteld. Echter, er wordt geen garantie gegeven op de volledigheid, correctheid of actualiteit van de informatie. De informatie in dit advies is bedoeld voor professionele partijen en kan niet worden beschouwd als bindend. NCSC en de Staat zijn niet aansprakelijk voor eventuele schade door gebruik van dit advies. Op dit advies is Nederlands recht van toepassing en eventuele geschillen worden voorgelegd aan de bevoegde rechtbanken in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----