Next.js’te Ortaya Çıkan Ciddi Güvenlik Açığı Milyonlarca Siteyi Etkileyebilir
Popüler web geliştirme framework’ü Next.js’te kritik seviyede bir güvenlik açığı keşfedildi. CVE-2025-29927 olarak kayıtlara geçen bu açık, saldırganların yetkilendirme kontrollerini atlamasına olanak tanıyor.
Next.js Kullanıcıları İçin Kritik Uyarı
Haftalık 9 milyondan fazla indirme sayısıyla React ekosisteminin en popüler framework’lerinden biri olan Next.js, TikTok, Twitch, Hulu, Netflix, Uber ve Nike gibi büyük şirketler tarafından da kullanılıyor. Açık, middleware bileşenlerindeki bir tasarım hatasından kaynaklanıyor.
Next.js’te middleware bileşenleri, isteklerin uygulama yönlendirme sistemine ulaşmadan önce çalışıyor. Bu bileşenler kimlik doğrulama, yetkilendirme, günlükleme, hata yönetimi ve kullanıcı yönlendirme gibi kritik güvenlik işlevlerini yerine getiriyor. Sistemin sonsuz döngüleri engellemek için kullandığı ‘x-middleware-subrequest’ başlığı, saldırganlar tarafından kötüye kullanılabiliyor. Araştırmacılar Allam Rachid ve Allam Yasser’in keşfettiği üzere, bu başlık doğru değerle birlikte gönderildiğinde tüm middleware yürütme zinciri atlanıyor.
Açık, Next.js’in 15.2.3, 14.2.25, 13.5.9 ve 12.3.5 öncesi sürümlerini etkiliyor. Next.js ekibi, kullanıcıları en yeni sürümlere geçmeleri konusunda uyarıyor. Açığın teknik detayları kamuya açıklandığı için acil önlem alınması gerekiyor.
Next.js’in güvenlik bültenine göre bu açık sadece ‘next start’ komutuyla ‘output: standalone’ seçeneği kullanılarak kendi sunucularında barındırılan uygulamaları etkiliyor. Vercel ve Netlify gibi platformlarda barındırılan uygulamalar veya statik export edilmiş projeler risk altında değil. Middleware’in yetkilendirme veya güvenlik kontrolleri için kullanıldığı ve uygulamanın ilerleyen aşamalarında ek doğrulama yapılmayan sistemler özellikle savunmasız durumda.
Şu anda güncelleme yapamayan kullanıcılar için geçici çözüm, ‘x-middleware-subrequest’ başlığını içeren harici kullanıcı isteklerini engellemek olarak açıklandı. Güvenlik uzmanları, middleware kullanan tüm Next.js geliştiricilerinin bu açığa karşı önlem alması gerektiğinin altını çiziyor.
