Kritisk sårbarhet åtgärdas i Next.js

En kritisk sårbarhet har rättats i Next.js, ett React-ramverk som används för att bygga webbapplikationer. Säkerhetsbristen innebär att en hotaktör kan hoppa över steget som vanligtvis exekverar validering och därmed förbigå autentisering. [1]

Sårbarheten har fått beteckningen CVE-2025-29927 och tilldelats ett CVSS-score på 9.1 av 10. [2]

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara system.

Är det inte möjligt att genomföra sårbarhetsuppdateringen, är en mitigerande åtgärd att blockera externa användarförfrågningar som innehåller rubriken x-middleware-subrequest. [3]

Källor

[1] https://nextjs.org/blog/cve-2025-29927
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-29927
[3] https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw