## CVE-2025-29927: Kritische Next.js-Lücke erlaubt Umgehung von Middleware-Authentifizierung
Eine kritische Sicherheitslücke in Next.js ermöglicht es Angreifern, die gesamte Authentifizierungs- und Autorisierungslogik einer Anwendung zu umgehen. Die Schwachstelle mit der Kennung CVE-2025-29927 und einem CVSS-Score von 9.1 betrifft die Middleware-Funktion. Durch das Spoofing eines spezifischen internen Headers kann ein unauthentifizierter Angreifer mit einem einzigen manipulierten HTTP-Request sämtliche geschützten Routen ohne gültige Anmeldedaten erreichen.

Die Lücke existiert in Versionen des `next`-Pakets ab 14.0.2, die älter als 14.2.25 sind. Der Angriff nutzt den Header `x-middleware-subrequest` aus. Wenn eine Anwendung ihre Sicherheitsprüfungen ausschließlich in der Datei `middleware.ts` oder `middleware.js` platziert hat, wird diese Logik durch den gefälschten Header vollständig übersprungen. Betroffen sind damit alle Routen, die nur durch die Middleware geschützt sind. Nicht betroffen sind laut Advisory statische Exports, auf Vercel gehostete Deployments oder Anwendungen, die die Authentifizierung zusätzlich innerhalb ihrer Route-Handler erneut validieren.

Die Patches sind in Version `next@14.2.25` verfügbar. Entwicklerteams müssen ihre Abhängigkeiten dringend aktualisieren. Für betroffene Projekte, die ein schnelles Update nicht ermöglichen, besteht ein erhebliches Risiko unbefugten Zugriffs auf sensible Bereiche der Anwendung. Die Lücke unterstreicht die Gefahr, sich bei Sicherheitskontrollen allein auf eine einzelne Abwehrschicht wie die Middleware zu verlassen, und erhöht den Druck auf Teams, ihre Sicherheitsarchitektur zu überprüfen.
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Cybersecurity, Web-Entwicklung, Sicherheitslücke, Next.js, CVE
- **Credibility**: unverified
- **Published**: 2026-04-05 16:27:06
- **ID**: 50660
- **URL**: https://whisperx.ai/en/intel/50660