Rilis untuk Mengatasi Kerentanan Keamanan di Next.js versi 15.2.3

 (nextjs.org)
1 poin oleh GN⁺ 2025-03-24 | 1 komentar | Bagikan ke WhatsApp

  • CVE-2025-29927

  • Next.js versi 15.2.3 dirilis untuk mengatasi kerentanan keamanan (CVE-2025-29927). Semua deployment Next.js self-hosted yang menggunakan next start dan output: 'standalone' disarankan untuk segera melakukan pembaruan.

  • Linimasa

    • 2025-02-27T06:03Z: Diungkapkan kepada tim Next.js melalui laporan kerentanan privat di GitHub
    • 2025-03-14T17:13Z: Tim Next.js mulai meninjau laporan
    • 2025-03-14T19:08Z: Patch dirilis untuk Next.js 15.x
    • 2025-03-14T19:26Z: Patch dirilis untuk Next.js 14.x
    • 2025-03-17T22:44Z: Next.js 14.2.25 dirilis
    • 2025-03-18T00:23Z: Next.js 15.2.3 dirilis
    • 2025-03-18T18:03Z: CVE-2025-29927 dipublikasikan di GitHub
    • 2025-03-21T10:17Z: Advisory keamanan diumumkan
    • 2025-03-22T21:21Z: Next.js 13.5.9 dirilis
    • 2025-03-23T06:44Z: Next.js 12.3.5 dirilis

  • Rincian kerentanan

    • Next.js menggunakan header internal x-middleware-subrequest untuk mencegah loop tak berujung. Menurut laporan keamanan, ada kemungkinan eksekusi middleware dapat dilewati sehingga pemeriksaan penting bisa dibypass.

  • Cakupan dampak

    • Terdampak

      • Aplikasi Next.js self-hosted yang menggunakan middleware (next start dan output: 'standalone')
      • Jika mengandalkan middleware untuk autentikasi atau pemeriksaan keamanan
      • Aplikasi yang menggunakan Cloudflare dapat mengaktifkan aturan WAF terkelola

    • Tidak terdampak

      • Aplikasi yang di-host di Vercel
      • Aplikasi yang di-host di Netlify
      • Aplikasi yang dideploy sebagai static export (middleware tidak dijalankan)

  • Versi yang sudah ditambal

    • Next.js 15.x: masalah diperbaiki di 15.2.3
    • Next.js 14.x: masalah diperbaiki di 14.2.25
    • Next.js 13.x: masalah diperbaiki di 13.5.9
    • Next.js 12.x: masalah diperbaiki di 12.3.5
    • Jika tidak memungkinkan untuk menambal ke versi yang aman, disarankan untuk mencegah permintaan pengguna eksternal menyertakan header x-middleware-subrequest

  • Tanggung jawab keamanan kami

    • Next.js telah menerbitkan 16 advisory keamanan sejak 2016. Advisory keamanan GitHub dan CVE adalah standar industri untuk memberi tahu pengguna, vendor, dan perusahaan tentang kerentanan perangkat lunak. Untuk melengkapi kekurangan dalam komunikasi dengan mitra, telah dibuka mailing list mitra. Anda dapat menghubungi partners@nextjs.org untuk ikut dimasukkan.

Bacaan terkait

1 komentar

 
GN⁺ 2025-03-24
Opini Hacker News

  • Sistem middleware Next punya banyak masalah, dan tampaknya lebih baik diimplementasikan ulang dari awal

    • Tidak ada cara resmi untuk merangkai beberapa middleware dalam chain
    • Fungsi-fungsi utama dijadikan anggota statis, sehingga dapat menimbulkan masalah saat menggunakan middleware pihak ketiga
    • Kurang ada cara untuk komunikasi antara middleware dan route handler
    • Metode meneruskan data melalui header tidak aman
    • Ada juga masalah bahwa cache otomatis harus dikorbankan
    • Sulit mendapatkan nama host asli dari permintaan

  • Menemukan artikel lain tentang masalah keamanan pada sistem middleware

    • Metode komunikasi melalui header terpisah dari validasi input pengguna
    • Mengizinkan semua header dari pengguna bisa berbahaya
    • Diperlukan dukungan framework untuk menyelesaikan masalah desain server

  • Informasi tentang kerentanan keamanan di Next.js

    • Ada kerentanan di mana server bisa memberikan respons yang salah jika header tertentu ditambahkan
    • Tidak ada CVE untuk kerentanan ini, dan tidak jelas versi mana yang terdampak
    • Sesuai kebijakan dukungan Next.js, patch hanya disediakan untuk versi tertentu

  • Kekhawatiran tentang lambatnya penanganan masalah keamanan di Next.js

    • Baru mulai ditangani setelah lebih dari 2 minggu sejak dilaporkan
    • Mungkin tingkat keparahan masalah tidak tersampaikan dengan baik

  • Kritik terhadap kompleksitas Next.js

    • React memberi banyak nilai, tetapi Next hanya menambah kompleksitas
    • Routing berbasis file dan server-side rendering hanya berguna dalam situasi tertentu

  • Kemudahan eksploitasi kerentanan keamanan

    • Ada masalah di mana autentikasi bisa dilewati hanya dengan menambahkan header tertentu

  • Masalah penggunaan header internal di Next.js

    • Ada header internal untuk mencegah permintaan rekursif
    • Ada kemungkinan header ini dapat digunakan untuk melewati verifikasi penting

  • Kecemasan terhadap pilihan self-hosting Next.js

    • Semakin membaca komentar di HN, semakin besar kecemasan terhadap pilihan tersebut

  • Kekhawatiran tentang keterlambatan penanganan masalah keamanan

    • Keterlambatan 13 hari dalam menangani masalah ini adalah persoalan besar