POC详情: 7928ab41ac7a6d7d3752a17cd74625c92c817514

来源
https://github.com/b4sh0xf/PoC-CVE-2025-29927
关联漏洞
标题: Next.js 安全漏洞 (CVE-2025-29927)
描述:Next.js是Vercel开源的一个 React 框架。 Next.js 14.2.25之前版本和15.2.3之前版本存在安全漏洞,该漏洞源于如果授权检查发生在中间件中,可能绕过授权检查。
描述
→ poc for CVE-2025-29927
介绍
# PoC-CVE-2025-29927

## what is the vuln?
- this cve reports an flaw in the header ```x-middleware-subrequest```, responsible to takes internal requests in next.js, who allow an attacker bypass the authorization middlewares in next.js 15.0.0 and acess protected routes, for example

## real example
- in a webapp, there is the /dashboard route, who only logged users can acess, but, if we make the request with the heade ```x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware```, we can access this route without authentication
  
   <img width="1397" height="612" alt="image" src="https://github.com/user-attachments/assets/fc4de14a-617e-4812-86b2-608526318974" />
文件快照

 [4.0K]  /data/pocs/7928ab41ac7a6d7d3752a17cd74625c92c817514
└── [ 697]  README.md

0 directories, 1 file
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。