Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Next.jsの脆弱性(CVE-2025-29927)の話
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
kuzushiki
March 25, 2025
Technology
0
26
Next.jsの脆弱性(CVE-2025-29927)の話
51回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/348181/
kuzushiki
March 25, 2025
Tweet
Share
More Decks by kuzushiki
See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
kuzushiki
0
270
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
kuzushiki
0
290
攻撃者の視点から見たGraphQLのセキュリティ
kuzushiki
0
27
PythonのURLパーサで見つかった脆弱性について解説する
kuzushiki
0
46
Pythonのtarfileによる展開処理がセキュアになりそう
kuzushiki
0
15
Web Cache Deception Attackについて解説する
kuzushiki
0
36
PHP8.2の新機能✞SensitiveParameter✞につい て
kuzushiki
0
24
Apple M1 CPUの脆弱性「PACMAN」について解説する
kuzushiki
0
790
ファームウェア解析はじめました
kuzushiki
0
22
Other Decks in Technology
See All in Technology
AI Agentにおける評価指標とAgent GPA
tsho
1
230
社内でAWS BuilderCards体験会を立ち上げ、得られた気づき / 20260225 Masaki Okuda
shift_evolve
PRO
1
150
Databricks (と気合い)で頑張るAI Agent 運用
kameitomohiro
0
330
Data Hubグループ 紹介資料
sansan33
PRO
0
2.8k
2026-02-24 月末 Tech Lunch Online #10 Cloud Runのデプロイの課題から考えるアプリとインフラの境界線
masasuzu
0
100
オンプレとGoogle Cloudを安全に繋ぐための、セキュア通信の勘所
waiwai2111
3
990
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
taka_aki
0
180
Vertex AI Agent Engine で学ぶ「記憶」の設計
tkikuchi
0
110
[続・営業向け 誰でも話せるOCI セールストーク] AWSよりOCIの優位性が分からない編(2026年2月20日開催)
oracle4engineer
PRO
0
140
Webアクセシビリティ技術と実装の実際
tomokusaba
0
140
男(監査)はつらいよ - Policy as CodeからAIエージェントへ
ken5scal
4
630
AI時代のAPIファースト開発
nagix
2
680
Featured
See All Featured
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
82
How STYLIGHT went responsive
nonsquared
100
6k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
130
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Un-Boring Meetings
codingconduct
0
220
The agentic SEO stack - context over prompts
schlessera
0
670
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
250
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
620
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
70
Reality Check: Gamification 10 Years Later
codingconduct
0
2k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
A Soul's Torment
seathinner
5
2.4k
Transcript
Next.jsの脆弱性 (CVE-2025-29927)の話
自己紹介 kuzushiki - セキュリティエンジニア5年目 - 2020~2024: 脆弱性診断・ペネトレーションテスト - 2024~: コーポレートITのセキュリティ担当
背景 発表のネタがなく困っていたところ、 先週末にNext.jsの脆弱性が話題になっていた→ 面白そうだったので調査することにした
Next.jsとは 有名なWebフレームワークの一つで、Reactがベースになっている JavaScriptのメタフレームワークの中では利用率1位 https://2024.stateofjs.com/en-US/libraries/#all_tools_experience 2024年|案件が多い「フレームワーク」ランキング 8位 https://prtimes.jp/main/html/rd/p/000000111.000045678.html
CVE-2025-29927とは Next.jsのMiddlewareによる処理がスキップされる脆弱性 認証認可のチェックをMiddlewareでやっていた場合、 本来アクセスできない機能にアクセスされる恐れあり 公式のアナウンスも出ていた https://nextjs.org/blog/cve-2025-29927
デモやります デモアプリはAppRunで公開しているので、ぜひ試してみてください! https://app-e5e67cd8-f4e6-4f7c-b571-09b522207dd6.ingress.apprun.sakura.ne.jp/ ソースコードも公開中 https://github.com/kuzushiki/CVE-2025-29927-test
なんでこんなことに? > Next.js uses an internal header x-middleware-subrequest to prevent
recursive requests from triggering infinite loops. https://nextjs.org/blog/cve-2025-29927 内部ヘッダーx-middleware-subrequestを使って、再帰的なリク エストが無限ループを引き起こすのを防いでいた。 -> すでにMiddlewareを通過したものとして処理されるように なっていた!
脆弱性についての所感 CVSS 9.1で深刻的な脆弱性ではあるものの... 実は、Middlewareのみで認証認可のチェックをすることは推奨されていない > Optionally use Middleware to perform
optimistic checks. https://nextjs.org/docs/pages/building-your-application/authentication 実際に悪用される可能性は低かったのでは?
対策 可能ならアップデートしましょう For Next.js 15.x, this issue is fixed in
15.2.3 For Next.js 14.x, this issue is fixed in 14.2.25 For Next.js 13.x, this issue is fixed in 13.5.9 For Next.js 12.x, this issue is fixed in 12.3.5 もし難しければ、x-middleware-subrequestヘッダを含む外部からのリクエストをWAFな どで遮断しましょう
おわりに ミドルウェアでのチェックを過信してはいけない 使う前に公式ドキュメントを読んで、用途に問題がないか確認しておこう バグハンター目線だと狙い目かも?
kuzushiki
tsho
shift_evolve
kameitomohiro
sansan33
masasuzu
waiwai2111
taka_aki
tkikuchi
oracle4engineer
tomokusaba
ken5scal
nagix
stuffmc
nonsquared
jacobtomlinson
smashingmag
codingconduct
schlessera
inesmontani
kimpetersen
auna
geoffreycrofte
seathinner
