Next.js संस्करण 15.2.3 सुरक्षा भेद्यता के समाधान के साथ जारी

 (nextjs.org)
1 पॉइंट द्वारा GN⁺ 2025-03-24 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • CVE-2025-29927

  • Next.js संस्करण 15.2.3 को सुरक्षा भेद्यता (CVE-2025-29927) को ठीक करने के लिए जारी किया गया है। next start और output: 'standalone' का उपयोग करने वाले सभी self-hosted Next.js deployments को तुरंत अपडेट करने की सिफारिश की जाती है.

  • टाइमलाइन

    • 2025-02-27T06:03Z: GitHub की private vulnerability report के माध्यम से Next.js टीम को जानकारी दी गई
    • 2025-03-14T17:13Z: Next.js टीम ने रिपोर्ट की समीक्षा शुरू की
    • 2025-03-14T19:08Z: Next.js 15.x के लिए patch जारी
    • 2025-03-14T19:26Z: Next.js 14.x के लिए patch जारी
    • 2025-03-17T22:44Z: Next.js 14.2.25 जारी
    • 2025-03-18T00:23Z: Next.js 15.2.3 जारी
    • 2025-03-18T18:03Z: GitHub पर CVE-2025-29927 प्रकाशित
    • 2025-03-21T10:17Z: सुरक्षा advisory घोषित
    • 2025-03-22T21:21Z: Next.js 13.5.9 जारी
    • 2025-03-23T06:44Z: Next.js 12.3.5 जारी

  • भेद्यता का विवरण

    • Next.js infinite loop को रोकने के लिए internal header x-middleware-subrequest का उपयोग करता है। सुरक्षा रिपोर्ट के अनुसार, middleware execution को skip करके महत्वपूर्ण checks को bypass करने की संभावना है.

  • प्रभाव का दायरा

    • प्रभावित होने वाले मामले

      • middleware का उपयोग करने वाले self-hosted Next.js applications (next start और output: 'standalone')
      • authentication या security checks के लिए middleware पर निर्भर मामले
      • Cloudflare का उपयोग करने वाले applications managed WAF rules को enable कर सकते हैं

    • प्रभावित न होने वाले मामले

      • Vercel पर hosted applications
      • Netlify पर hosted applications
      • static export के रूप में deploy किए गए applications (middleware execute नहीं होता)

  • patched versions

    • Next.js 15.x: 15.2.3 में समस्या का समाधान
    • Next.js 14.x: 14.2.25 में समस्या का समाधान
    • Next.js 13.x: 13.5.9 में समस्या का समाधान
    • Next.js 12.x: 12.3.5 में समस्या का समाधान
    • यदि सुरक्षित संस्करण में patch करना संभव न हो, तो यह सुनिश्चित करने की सिफारिश की जाती है कि बाहरी user requests में x-middleware-subrequest header शामिल न हो

  • हमारी सुरक्षा जिम्मेदारी

    • Next.js ने 2016 के बाद से 16 security advisories जारी की हैं। GitHub security advisories और CVE software vulnerabilities के बारे में users, vendors और companies को सूचित करने के industry standard हैं। partners के साथ communication में कमी को दूर करने के लिए एक partner mailing list शुरू की गई है। इसमें शामिल होने के लिए partners@nextjs.org पर संपर्क किया जा सकता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-03-24
Hacker News की राय

  • Next का middleware सिस्टम काफी समस्याग्रस्त है, और इसे शुरुआत से फिर से implement करना बेहतर लगता है

    • कई middleware को chain में जोड़ने का कोई आधिकारिक तरीका नहीं है
    • प्रमुख functions static members के रूप में हैं, जिससे third-party middleware इस्तेमाल करते समय समस्याएँ हो सकती हैं
    • middleware और route handlers के बीच communication का तरीका पर्याप्त नहीं है
    • headers के जरिए data pass करने का तरीका सुरक्षित नहीं है
    • automatic caching छोड़नी पड़ने की समस्या भी है
    • request का वास्तविक hostname पाना मुश्किल है

  • middleware सिस्टम की security समस्याओं पर एक और लेख मिला

    • headers के जरिए communication का तरीका user input validation से अलग है
    • user से आने वाले सभी headers को अनुमति देना खतरनाक हो सकता है
    • server design की समस्याओं को हल करने के लिए framework support की ज़रूरत है

  • Next.js की security vulnerability के बारे में जानकारी

    • एक खास header जोड़ने पर server गलत response दे सकता था, ऐसी vulnerability थी
    • इस vulnerability के लिए कोई CVE नहीं है, और कौन-से versions प्रभावित हैं यह स्पष्ट नहीं है
    • Next.js की support policy के अनुसार केवल कुछ versions के लिए ही patch दिया गया है

  • Next.js में security issue के समाधान में देरी को लेकर चिंता

    • report के बाद 2 हफ्तों से अधिक समय बीतने पर ही समस्या का समाधान शुरू हुआ
    • संभव है कि समस्या की गंभीरता ठीक से बताई नहीं गई हो

  • Next.js की complexity पर आलोचना

    • React ने बहुत value दी है, लेकिन Next सिर्फ complexity बढ़ाता है
    • file-based routing और server-side rendering केवल कुछ खास परिस्थितियों में ही उपयोगी हैं

  • security vulnerability को आसानी से exploit किया जा सकना

    • एक खास header जोड़ने से authentication bypass किया जा सकता था

  • Next.js के internal headers के इस्तेमाल की समस्या

    • recursive requests को रोकने के लिए एक internal header है
    • इस header के जरिए महत्वपूर्ण validation bypass होने की संभावना है

  • Next.js को self-host करने के चुनाव को लेकर असहजता

    • HN की टिप्पणियाँ जितनी पढ़ते हैं, इस चुनाव को लेकर उतनी ही अधिक असहजता बढ़ती है

  • security issue के समाधान में देरी को लेकर चिंता

    • 13 दिनों तक समस्या का unresolved रहना एक बड़ी समस्या है