Une faille de sécurité critique vient d’être dévoilée dans Next.js, le célèbre framework basé sur React. Exploitée, cette vulnérabilité permet à des attaquants de contourner les vérifications d’autorisation, mettant ainsi en péril l’accès aux espaces protégés des sites et applications utilisant cet environnement. Référencée sous le code CVE-2025-29927, cette faille affiche un score CVSS de 9.1 sur 10, soulignant son niveau de risque élevé. Administrateurs et développeurs doivent agir rapidement pour sécuriser leurs systèmes.
Une faille de sécurité dans le middleware de Next.js
Un contournement des vérifications d’autorisation
Le framework Next.js s’appuie sur un en-tête interne, x-middleware-subrequest, pour éviter les boucles infinies provoquées par des requêtes récursives. Toutefois, en raison d’une faille dans son middleware, il était possible de contourner cette protection. Ainsi, certaines requêtes pouvaient esquiver des contrôles essentiels, dont la validation des cookies d’authentification.
En d’autres termes, cette vulnérabilité permettait à des utilisateurs malintentionnés de franchir les barrières de sécurité sans vérification, offrant un accès potentiel à des zones administratives ou à des pages réservées aux comptes privilégiés.
Quels risques pour les sites et applications concernées ?
Les plateformes utilisant les versions non corrigées de Next.js sont directement exposées. Les attaquants peuvent exploiter cette brèche pour accéder aux services protégés et manipuler des données sensibles sans authentification préalable.
Les entreprises qui s’appuient sur le middleware de Next.js pour l’autorisation des utilisateurs, sans seconde vérification, sont particulièrement vulnérables. Si des pages administratives ou des pans entiers du site requièrent un accès restreint à certains utilisateurs légitimes, cette vulnérabilité pourrait permettre à un attaquant d’y pénétrer illicitement.
Mise à jour et correctifs recommandés
Patchs disponibles pour corriger la vulnérabilité
Suite à la découverte de cette faille, l’équipe de développement de Next.js a publié des mises à jour de sécurité. Les versions corrigées incluent :
- Next.js 12.3.5
- Next.js 13.5.9
- Next.js 14.2.25
- Next.js 15.2.3
Ces mises à jour permettent de neutraliser le problème en rétablissant les vérifications du middleware et empêchant le contournement des restrictions d’accès.
Recommandations pour les administrateurs et développeurs
Pour ceux qui ne peuvent pas appliquer immédiatement les correctifs, une mesure d’atténuation consiste à bloquer toute requête externe contenant l’en-tête x-middleware-subrequest. En effet, empêcher ces requêtes suspectes d’atteindre l’application Next.js limite les risques d’exploitation de la faille.
Il est vivement conseillé aux entreprises et aux développeurs d’auditer leurs systèmes et de revoir leurs mécanismes d’authentification afin d’éliminer toute dépendance exclusive au middleware de Next.js. Une combinaison de plusieurs couches de vérification reste le meilleur moyen de sécuriser une application web.
Un chercheur en cybersécurité à l’origine de la découverte
Qui est Rachid Allam, le chercheur à l’origine de la découverte ?
Cette faille a été découverte et signalée par le chercheur en cybersécurité Rachid Allam, également connu sous les pseudonymes zhero et cold-try. Grâce à son expertise, il a permis d’exposer cette vulnérabilité critique avant qu’elle ne soit massivement exploitée par des pirates.
L’expert a récemment publié des détails techniques supplémentaires sur cette faille. Ces informations rendent la correction encore plus urgente, car elles permettent aux attaquants d’en comprendre le fonctionnement et d’en tirer parti plus facilement.
Une attaque aux conséquences importantes pour les entreprises
Selon la société JFrog, toute application qui repose entièrement sur le middleware Next.js pour gérer l’autorisation des utilisateurs est vulnérable à cette faille. En l’absence d’autres contrôles d’accès, un attaquant pourrait pénétrer dans des pages normalement réservées aux administrateurs et aux utilisateurs ayant des privilèges étendus.
La nature critique de cette vulnérabilité rappelle à quel point il est essentiel de comprendre les failles de sécurité exploitées par les attaquants. Pour approfondir ces connaissances et mieux sécuriser vos applications, la lecture d’un livre pour apprendre à hacker peut être une approche judicieuse. Ce type de ressource permet d’anticiper les techniques utilisées par les cybercriminels et de renforcer la protection de ses infrastructures.
Dans un monde où les attaques deviennent de plus en plus sophistiquées, assurer la cybersécurité de ses applications est une priorité. Pour cela, CyberCare propose des solutions adaptées aux entreprises qui souhaitent se protéger contre ce type de vulnérabilités et renforcer leur sécurité informatique avec des stratégies éprouvées.
