Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Next.jsの脆弱性(CVE-2025-29927)の話
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
kuzushiki
March 25, 2025
Technology
0
26
Next.jsの脆弱性(CVE-2025-29927)の話
51回 初心者のためのセキュリティ勉強会(オンライン開催)の発表資料です。
https://sfb.connpass.com/event/348181/
kuzushiki
March 25, 2025
Tweet
Share
More Decks by kuzushiki
See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
kuzushiki
0
270
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
kuzushiki
0
290
攻撃者の視点から見たGraphQLのセキュリティ
kuzushiki
0
27
PythonのURLパーサで見つかった脆弱性について解説する
kuzushiki
0
46
Pythonのtarfileによる展開処理がセキュアになりそう
kuzushiki
0
15
Web Cache Deception Attackについて解説する
kuzushiki
0
36
PHP8.2の新機能✞SensitiveParameter✞につい て
kuzushiki
0
24
Apple M1 CPUの脆弱性「PACMAN」について解説する
kuzushiki
0
790
ファームウェア解析はじめました
kuzushiki
0
22
Other Decks in Technology
See All in Technology
ヘルシーSRE
tk3fftk
2
170
dbt meetup #19 『dbtを『なんとなく動かす』を卒業します』
tiltmax3
0
130
Claude Codeはレガシー移行でどこまで使えるのか?
ak2ie
1
1.1k
【Developers Summit 2026】Memory Is All You Need:コンテキストの「最適化」から「継続性」へ ~RAGを進化させるメモリエンジニアリングの最前線~
shisyu_gaku
5
820
バクラクのSREにおけるAgentic AIへの挑戦/Our Journey with Agentic AI
taddy_919
1
430
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.4k
Agentic Codingの実践とチームで導入するための工夫
lycorptech_jp
PRO
0
190
【SLO】"多様な期待値" と向き合ってみた
z63d
2
230
Snowflakeデータ基盤で挑むAI活用 〜4年間のDataOpsの基礎をもとに〜
kaz3284
1
270
オンプレとGoogle Cloudを安全に繋ぐための、セキュア通信の勘所
waiwai2111
3
620
WBCの解説は生成AIにやらせよう - 生成AIで野球解説者AI Agentを実現する / Baseball Commentator AI Agent for Gemini
shinyorke
PRO
0
290
男(監査)はつらいよ - Policy as CodeからAIエージェントへ
ken5scal
4
610
Featured
See All Featured
Building Adaptive Systems
keathley
44
2.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
0
220
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
400
Marketing to machines
jonoalderson
1
5k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
A Tale of Four Properties
chriscoyier
162
24k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.8k
Six Lessons from altMBA
skipperchong
29
4.2k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
190
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
230
Transcript
Next.jsの脆弱性 (CVE-2025-29927)の話
自己紹介 kuzushiki - セキュリティエンジニア5年目 - 2020~2024: 脆弱性診断・ペネトレーションテスト - 2024~: コーポレートITのセキュリティ担当
背景 発表のネタがなく困っていたところ、 先週末にNext.jsの脆弱性が話題になっていた→ 面白そうだったので調査することにした
Next.jsとは 有名なWebフレームワークの一つで、Reactがベースになっている JavaScriptのメタフレームワークの中では利用率1位 https://2024.stateofjs.com/en-US/libraries/#all_tools_experience 2024年|案件が多い「フレームワーク」ランキング 8位 https://prtimes.jp/main/html/rd/p/000000111.000045678.html
CVE-2025-29927とは Next.jsのMiddlewareによる処理がスキップされる脆弱性 認証認可のチェックをMiddlewareでやっていた場合、 本来アクセスできない機能にアクセスされる恐れあり 公式のアナウンスも出ていた https://nextjs.org/blog/cve-2025-29927
デモやります デモアプリはAppRunで公開しているので、ぜひ試してみてください! https://app-e5e67cd8-f4e6-4f7c-b571-09b522207dd6.ingress.apprun.sakura.ne.jp/ ソースコードも公開中 https://github.com/kuzushiki/CVE-2025-29927-test
なんでこんなことに? > Next.js uses an internal header x-middleware-subrequest to prevent
recursive requests from triggering infinite loops. https://nextjs.org/blog/cve-2025-29927 内部ヘッダーx-middleware-subrequestを使って、再帰的なリク エストが無限ループを引き起こすのを防いでいた。 -> すでにMiddlewareを通過したものとして処理されるように なっていた!
脆弱性についての所感 CVSS 9.1で深刻的な脆弱性ではあるものの... 実は、Middlewareのみで認証認可のチェックをすることは推奨されていない > Optionally use Middleware to perform
optimistic checks. https://nextjs.org/docs/pages/building-your-application/authentication 実際に悪用される可能性は低かったのでは?
対策 可能ならアップデートしましょう For Next.js 15.x, this issue is fixed in
15.2.3 For Next.js 14.x, this issue is fixed in 14.2.25 For Next.js 13.x, this issue is fixed in 13.5.9 For Next.js 12.x, this issue is fixed in 12.3.5 もし難しければ、x-middleware-subrequestヘッダを含む外部からのリクエストをWAFな どで遮断しましょう
おわりに ミドルウェアでのチェックを過信してはいけない 使う前に公式ドキュメントを読んで、用途に問題がないか確認しておこう バグハンター目線だと狙い目かも?
kuzushiki
tk3fftk
tiltmax3
ak2ie
shisyu_gaku
taddy_919
sansan33
lycorptech_jp
z63d
kaz3284
waiwai2111
shinyorke
ken5scal
keathley
marktimemedia
ks91
thoeni
jonoalderson
denniskardys
chriscoyier
honnibal
skipperchong
uxyall
szymonslowik
