Analis Siber Purwakarta - Admin. Next.js merupakan framework pengembangan web populer yang dikembangkan oleh Vercel. Pada Februari 2025, peneliti keamanan Rachid Allam, dan Yasser Allam menemukan kerentanan serius pada Next.js versi sebelum 14.2.25, dan 15.1.7 (serta 15.2.3 untuk jalur rilis terbaru.
Kerentanan ini terletak pada mekanisme Middleware yang memungkinkan penyerang memanipulasi aspek Authorization. Akibatnya, peretas dapat mengakses endpoint sensitif yang seharusnya terproteksi dan tidak bisa diakses oleh pengguna umum.
Mekanisme Kerja Middleware
Middleware pada Next.js adalah fitur routing yang berfungsi untuk menjalankan kode (seperti autentikasi atau logging) sebelum sebuah request dinyatakan selesai. Dalam proses ini, pengembang biasanya memodifikasi response dengan cara menulis ulang (rewrite), mengalihkan (redirect), atau memodifikasi header request/response secara langsung untuk menjaga keamanan aplikasi.
Metode Eksploitasi
Berdasarkan temuan peneliti, eksploitasi ini dilakukan dengan memanfaatkan cara Next.js menangani sub-request internal. Peretas hanya perlu menambahkan header HTTP tambahan pada request mereka, yaitu:
x-middleware-subrequest: middleware
Penambahan header ini menyebabkan sistem menganggap bahwa request tersebut sudah diproses oleh middleware, sehingga request dilanjutkan langsung ke destinasi tujuan tanpa melewati filter keamanan yang ada.
 |
| Mengeksploitasi CVE-2025-29927 menggunakan Caido Sumber: Dokumentasi penulis |
Dampak Utama:
Penyerang dapat mengakses halaman atau API melewati baris kode autentikasi yang seharusnya berjalan di lapisan Middleware.
Sumber:
Komentar
Posting Komentar