Sebuah celah keamanan kritis di Next.js (CVE-2025-29927) memungkinkan penyerang melewati middleware otorisasi hanya dengan menambahkan header internal “x-middleware-subrequest” pada permintaan HTTP, sehingga akses ke rute terlindungi dapat terbuka tanpa autentikasi yang semestinya.

Inti masalah

Kerentanan terjadi karena Next.js mempercayai header internal “x-middleware-subrequest” untuk menandai subrequest sehingga middleware tidak dijalankan ulang, yang dapat disalahgunakan pihak luar untuk melewati seluruh logika keamanan di lapisan middleware.
Pada versi yang lebih baru, pola eksploit juga memanfaatkan mekanisme pencegah rekursi dengan mengulang nilai “middleware” beberapa kali hingga melampaui ambang pemeriksaan, lalu membuat middleware dilewati total.

Dampak utama

• Otorisasi pada rute admin, API sensitif, dan fitur internal dapat dibypass bila pemeriksaan akses hanya dilakukan di middleware.

• Aplikasi self-hosted yang menjalankan next start dengan output: standalone paling berisiko, sementara deployment di Vercel, Netlify, atau static export tidak terdampak karena arsitektur routing berbeda.

Siapa yang terdampak

• Aplikasi Next.js yang mengandalkan middleware untuk autentikasi/otorisasi (misalnya pengecekan cookie sesi atau role) tanpa kontrol tambahan di handler rute.

• Rentang versi luas terdampak sebelum rilis patch; pola nilai header untuk bypass berbeda antara generasi Next.js lama dan baru.

Cara eksploit bekerja

• Penyerang menambahkan header “x-middleware-subrequest” dengan nilai yang mencocokkan jalur middleware, sehingga Next.js menganggap permintaan itu subrequest internal dan melewati eksekusi middleware.

• Di versi lama, nilai dapat berupa “pages/_middleware” atau variasi jalur; di versi baru, pengulangan “middleware” lima kali memicu batas rekursi dan melewati middleware seluruhnya.

Rekomendasi patch

• Perbarui ke rilis yang sudah menutup celah; patch awal tersedia pada 12.3.5, 13.5.9, 14.2.25, dan 15.2.3 sesuai vendor, dengan pembaruan lanjutan ke 12.3.6, 13.5.10, 14.2.26, dan 15.2.4 untuk penyempurnaan mitigasi.

• Vendor juga menegaskan kembali praktik bahwa middleware sebaiknya tidak menjadi satu-satunya gerbang proteksi rute.

Mitigasi cepat

• Blokir atau hapus header “x-middleware-subrequest” pada WAF/reverse proxy untuk trafik eksternal sebagai langkah pertahanan cepat.

• Tambahkan kontrol akses di handler rute/API (defense-in-depth), audit log untuk respon 200 yang tidak wajar di rute yang semestinya 401/403, dan pantau indikasi pemindaian header ini.

Status ancaman

• Penelitian dan pemantauan menunjukkan eksploit relatif mudah direplikasi dan telah menjadi fokus uji serta pemindaian, sehingga akselerasi patch sangat disarankan.

• Otoritas keamanan dan penyedia infrastruktur telah merilis panduan/aturan WAF untuk membantu mitigasi sementara di perimeter.

Apa yang harus dilakukan sekarang

• Segera upgrade Next.js ke versi patch terbaru yang tersedia untuk branch yang digunakan, lalu uji rute terlindungi tanpa dan dengan header “x-middleware-subrequest” untuk memastikan bypass tidak lagi terjadi.

• Terapkan aturan WAF untuk memblokir keberadaan header tersebut sambil meninjau arsitektur autentikasi agar tidak bergantung tunggal pada middleware.

Informasi teknis singkat

• Nama celah: CVE-2025-29927 (Authorization Bypass via Middleware) dengan tingkat keparahan dikategorikan kritis oleh berbagai analis keamanan.

• Akar masalah: kepercayaan berlebihan pada header internal yang dapat dipalsukan dari klien, sehingga logika middleware dilewati.

Kutipan versi terdampak/patch

• Patch awal: 12.3.5, 13.5.9, 14.2.25, 15.2.3 (dirilis dan dibackport oleh pengelola).

• Patch lanjutan: 12.3.6, 13.5.10, 14.2.26, 15.2.4 (penyempurnaan pasca patch awal).

Sumber referensi

• Vercel: Postmortem dan lini masa rilis patch resmi.

• Datadog Security Labs: Analisis teknis, versi terdampak, dan contoh payload.

• Cloudflare: Aturan WAF siap pakai dan pembaruan versi patch lanjutan.

• OffSec: Ringkasan dampak dan penilaian keparahan kerentanan.

• NVD (NIST): Entri CVE dan metadata kerentanan.

• SonicWall: Penjabaran pola header untuk berbagai versi Next.js.

• https://cybersecuritynews.com/critical-next-js-framework-vulnerability/