Warning: mkdir(): No space left on device in /var/www/tg-me/post.php on line 37

Warning: file_put_contents(aCache/aDaily/post/shadow_group_tg/-1047-1048-1047-): Failed to open stream: No such file or directory in /var/www/tg-me/post.php on line 50
SHADOW:Group | Telegram Webview: shadow_group_tg/1048 -
Telegram Group & Telegram Channel
Telegram Group » United States » SHADOW:Group » Telegram Webview » Post 1048
SHADOW:Group
↔️ Next.js и повреждённый middleware

Раскрыли подробности новой уязвимости в Next.JS CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest, позволяющая полностью игнорировать middleware, включая проверку авторизации и перезапись путей.

Как это работает

Next.js использует x-middleware-subrequest для внутренних нужд: он указывает, какие middleware уже были пройдены. Однако злоумышленник может сам подставить значение, указывающее, что middleware уже обработан, и тем самым обойти все проверки.
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

x-middleware-subrequest: src/middleware:src/middleware:src/middleware:src/middleware:src/middleware

Пример запроса:
GET /admin/dashboard HTTP/1.1
Host: vulnerable.site
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

Результат: Middleware полностью игнорируется, и запрос проходит, как будто пользователь авторизован.

Другие сценарии атак

🔹CSP bypass
Если middleware устанавливает Content-Security-Policy и другие заголовки - они будут проигнорированы.

🔹DoS через Cache Poisoning
Например, если сайт делает rewrite на основе геолокации, можно закэшировать "пустую" или ошибочную версию страницы, нарушив доступность для других.

Кого это касается
Приложения, использующие middleware для авторизации или других чувствительных задач. Если middleware не используется - уязвимость малозначима (кроме DoS-сценариев).

📖 Подробнее:
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

#web #bac #cache #dos #csp
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/us/SHADOW:Group/com.shadow_group_tg/1048
5.7K views



tg-me.com/shadow_group_tg/1048
Create:
Last Update:

↔️ Next.js и повреждённый middleware

Раскрыли подробности новой уязвимости в Next.JS CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest, позволяющая полностью игнорировать middleware, включая проверку авторизации и перезапись путей.

Как это работает

Next.js использует x-middleware-subrequest для внутренних нужд: он указывает, какие middleware уже были пройдены. Однако злоумышленник может сам подставить значение, указывающее, что middleware уже обработан, и тем самым обойти все проверки.

x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

x-middleware-subrequest: src/middleware:src/middleware:src/middleware:src/middleware:src/middleware

Пример запроса:
GET /admin/dashboard HTTP/1.1
Host: vulnerable.site
x-middleware-subrequest: middleware:middleware:middleware:middleware:middleware

Результат: Middleware полностью игнорируется, и запрос проходит, как будто пользователь авторизован.

Другие сценарии атак

🔹CSP bypass
Если middleware устанавливает Content-Security-Policy и другие заголовки - они будут проигнорированы.

🔹DoS через Cache Poisoning
Например, если сайт делает rewrite на основе геолокации, можно закэшировать "пустую" или ошибочную версию страницы, нарушив доступность для других.

Кого это касается
Приложения, использующие middleware для авторизации или других чувствительных задач. Если middleware не используется - уязвимость малозначима (кроме DoS-сценариев).

📖 Подробнее:
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

#web #bac #cache #dos #csp

BY SHADOW:Group





Share with your friend now:
tg-me.com/shadow_group_tg/1048

View MORE
Open in Telegram


SHADOW:Group Telegram | DID YOU KNOW?

Date: |

For some time, Mr. Durov and a few dozen staffers had no fixed headquarters, but rather traveled the world, setting up shop in one city after another, he told the Journal in 2016. The company now has its operational base in Dubai, though it says it doesn’t keep servers there.Mr. Durov maintains a yearslong friendship from his VK days with actor and tech investor Jared Leto, with whom he shares an ascetic lifestyle that eschews meat and alcohol.

Should I buy bitcoin?

“To the extent it is used I fear it’s often for illicit finance. It’s an extremely inefficient way of conducting transactions, and the amount of energy that’s consumed in processing those transactions is staggering,” the former Fed chairwoman said. Yellen’s comments have been cited as a reason for bitcoin’s recent losses. However, Yellen’s assessment of bitcoin as a inefficient medium of exchange is an important point and one that has already been raised in the past by bitcoin bulls. Using a volatile asset in exchange for goods and services makes little sense if the asset can tumble 10% in a day, or surge 80% over the course of a two months as bitcoin has done in 2021, critics argue. To put a finer point on it, over the past 12 months bitcoin has registered 8 corrections, defined as a decline from a recent peak of at least 10% but not more than 20%, and two bear markets, which are defined as falls of 20% or more, according to Dow Jones Market Data.

SHADOW:Group from us



Warning: filemtime(): stat failed for aCache/aDaily/post/shadow_group_tg/-1047-1048-1047- in /var/www/tg-me/post.php on line 333

Warning: filemtime(): stat failed for aCache/aDaily/post/shadow_group_tg/-1047-1048-1047- in /var/www/tg-me/post.php on line 334

↔️ Next.js и повреждённый middlewareРаскрыли подробности новой уязвимости в Next.JS CVE-2025-29927. Уязвимость затрагивает все версии Next.js начиная с 11.1.4. Суть проблемы — некорректная обработка заголовка x-middleware-subrequest

 SHADOW:Group TG
Webview: 1048
SHADOW:Group.Telegram Webview
SHADOW:Group Telegram TG Channel
Telegram Updated:
Telegram SHADOW:Group
FROM USA