next.js的x-middleware-subrequest高危

2025年3月22日14

AI 生成的摘要

发现了一个Next.js的高危漏洞，攻击者可以通过设置x-middleware-subrequest来绕过逻辑。漏洞修复的提交在五天前，而CVE是在昨天发布的，意味着漏洞在野外存在了几天。利用这个漏洞似乎很简单，只需将subrequest设置为true即可。作者调侃称自己已经从Next.js转向Remix，认为OpenAI更具技术优势。

看到一个 next.js 的高危。

https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw

隐晦（淫秽）地写着阻止x-middleware-subrequest可以缓解攻击

漏洞修复的 commit
https://github.com/vercel/next.js/commit/9704c8e9fcc58236349ed787903831579440a879

五天前的提交，cve 是昨天发的。意思是在野外苦苦呆了好几天。

利用好像真的很容易。。。subrequest 设置成 true，直接就把中间的逻辑 bypass 了？（没有很仔细地看

这波我只能说，还是 openai 技高一筹，早就从 nextjs 换到了 remix 哈哈哈哈哈。