Aggregator

Next.js 中的严重漏洞可让黑客绕过授权

嘶吼
3 months 4 weeks ago

在 Next.js 这个开源的 Web 开发框架中,发现了一个严重漏洞,攻击者有可能借此绕过授权检查。

该漏洞编号为 CVE-2025-29927,攻击者利用此漏洞,无需经过关键的安全检查,就能发送请求并到达目标路径。

Next.js 是一个广受欢迎的 React 框架,在 npm 上,每周的下载量超过 900 万次。它被用于构建全栈 Web 应用程序,其中包含用于身份验证和授权的中间件组件。前端和全栈开发人员借助它,通过 React 构建 Web 应用程序。一些知名公司,如 TikTok、Twitch、Hulu、Netflix、Uber 和 Nike 等,都在其网站或应用程序中使用了 Next.js。

绕过授权机制的原理

在 Next.js 中,中间件组件会在请求到达应用程序路由系统之前运行,其作用包括身份验证、授权、日志记录、错误处理、重定向用户、实施地理封锁或速率限制等。

为避免中间件自身陷入无限循环的重新触发,Next.js 采用了一个名为 “x-middleware-subrequest” 的标头,以此指示是否应应用中间件功能。负责处理传入请求的 “runMiddleware” 函数会检索该标头。

一旦检测到 “x-middleware-subrequest” 标头具有特定值,整个中间件执行链就会被绕过,请求会被直接转发到目的地。

攻击者能够手动发送包含正确值标头的请求,进而绕过保护机制。据发现此漏洞并发表技术文章的研究人员 Allam Rachid 和 Allam Yasser (inzo_) 称,“该标头及其值就像一把通用钥匙,能够覆盖规则。”

受影响版本与建议

该漏洞影响所有早于 15.2.3、14.2.25、13.5.9 和 12.3.5 的 Next.js 版本。鉴于利用此安全问题的技术细节已公开,建议用户尽快升级到较新版本。

Next.js 的安全公告明确指出,CVE-2025-29927 仅影响使用 “next start” 和 “output: standalone” 的自托管版本。托管在 Vercel 和 Nerlify 上,或者部署为静态导出的 Next.js 应用则不受影响。同样受影响的,还有那些使用中间件进行授权或安全检查,且在应用程序后期没有验证的环境。

若暂时无法进行修补,建议阻止外部用户发送包含 “x-middleware-subrequest header” 的请求。

山卡拉

iOS devices face twice the phishing attacks of Android

Help Net Security
3 months 4 weeks ago

2024 brought about countless new cybersecurity challenges including significant growth of the mobile threat landscape, according to Lookout. Threat actors, ranging from nation-states to individuals, are increasingly targeting mobile devices for the onset of their attacks to steal credentials and infiltrate the enterprise cloud in a pathway known as the modern kill chain. More than ever, organizations of every size across every industry must view mobile targeting as a canary in the coal mine – … More →

The post iOS devices face twice the phishing attacks of Android appeared first on Help Net Security.

Help Net Security

微软2025年4月补丁周二修复了利用零日漏洞的134个漏洞

嘶吼
3 months 4 weeks ago

本周,微软2025年4月补丁星期二发布134个漏洞安全更新,其中包括一个主动利用的零日漏洞。此外,还修复了11个“关键”漏洞。

每个漏洞类别的漏洞数量如下:

·49个特权提升漏洞

·9个安全特性绕过漏洞

·31个远程代码执行漏洞

·17个信息泄露漏洞

·14个拒绝服务漏洞

·3个欺骗漏洞

上述数字不包括Mariner漏洞和本月早些时候修复的13个微软Edge漏洞。

一个积极利用零日

修复的被积极利用的零日漏洞,微软将其归类为公开披露或被积极利用,而没有官方修复。

在最近的更新中,积极利用的零日漏洞是:CVE-2025-29824 - Windows通用日志文件系统驱动程序权限提升漏洞。微软表示,这个漏洞允许本地攻击者获得设备/上的SYSTEM特权。

安全更新目前只适用于Windows Server和Windows 11,微软稍后会发布Windows 10更新。

微软解释说:“针对x64系统的Windows 10和针对32位系统的Windows 10的安全更新不会立即可用。”

更新将尽快发布,当它们可用时,客户将通过此CVE信息的修订得到通知。在这篇文章发表后,微软还会分享关于RansomEXX勒索软件团伙如何利用该漏洞作为零日漏洞来获得更高权限的更多细节。

胡金鱼

科学家测量出中微子至今最精确质量上限 0.45 eV

Solidot
3 months 4 weeks ago
KATRIN(Karlsruhe Tritium Neutrino,卡尔斯鲁厄氚中微子)实验的研究人员报告了迄今为止对中微子质量上限的最精确测量结果:设定为 0.45 电子伏特 (eV) ,不到电子质量的百万分之一。该发现为宇宙中最难以捉摸的基本粒子设置了更严格的质量范围,使得其物理学适用边界超越了“标准模型”(Standard Model)。中微子(一种电中性基本粒子)是宇宙中数量最多的粒子,它以三种不同类型或“味”存在:电子中微子、μ 中微子和 τ 中微子。这些味态的摆荡意味着单个中微子在传播时可转变为三种味态中的每一种类型;该现象提供了确凿的证据:中微子具有质量;这与“标准模型”最初假设的中微子无质量相矛盾。然而,它们的确切质量仍是粒子物理学的一大谜团。KATRIN 实验通过分析氚的 β 衰变来确定中微子的质量。在此衰变过程中,中子会转变为质子,同时会释放一个电子和一个电子反中微子——后者是中微子的反粒子。通过分析发射的电子和电子反中微子间的总衰变能量分布便可推算中微子的质量。在 2019 年至 2021 年间的 259 天中,KATRIN 合作团队测量了约 3600 万个电子的能量——这一数据集比之前的运行规模要大 6 倍。这些发现确定了电子中微子有效质量的最严格实验室上限:将其置于 < 0.45 eV (置信水平为 90%)。

New infosec products of the week: April 11, 2025

Help Net Security
3 months 4 weeks ago

Here’s a look at the most interesting products from the past week, featuring releases from Forescout, Index Engines, Jit, RunSafe Security, and Seal Security. Jit launches AI agents to ease AppSec workload Jit has launched its new AI agents to offload specific and tedious tasks from AppSec teams such as creating risk assessments, threat models, and compliance reports; while making it easy to take action on mitigating security risk. As a result, AppSec teams can … More →

The post New infosec products of the week: April 11, 2025 appeared first on Help Net Security.

Help Net Security

Sensata Technologies 遭受勒索软件攻击,影响运营

HackerNews
3 months 4 weeks ago
HackerNews 编译,转载请注明出处: Sensata Technologies(简称 Sensata)在上周末遭受了一次勒索软件攻击,部分公司网络被加密,运营受到扰乱。 在向美国证券交易委员会(SEC)提交的 8-K 表格中,Sensata 表示此次攻击发生在 4 月 6 日星期日,并涉及数据泄露。 “此次事件暂时影响了 Sensata 的运营,包括发货、收货、制造生产以及各种其他支持功能,”通知中写道。 Sensata 是一家工业技术公司,开发、制造和销售各种传感器及传感器解决方案,以及电气保护组件和系统。 该公司产品主要用于汽车、航空航天和工业应用领域。2023 年,Sensata 报告的年收入为 40 亿美元。 Sensata 表示,公司已采取立即行动,加快受网络攻击影响的关键功能的恢复进程。然而,公司无法提供完成这一工作的具体时间表。 在外部网络安全专家的协助下进行的初步调查确认,黑客已从公司网络中窃取了数据。 数据泄露与勒索软件的常见策略 数据泄露是勒索软件攻击者常用的策略,用于勒索受害者、增加支付赎金的压力,并制造法律和监管上的复杂性。 目前,Sensata 正在确定此次攻击中被盗的文件,并将根据调查结果通知受影响的个人和监管机构。 公司预计此次事件对其截至今年 6 月 30 日的当前季度财务结果不会产生重大影响。 然而,Sensata 承认,随着对安全事件的全面范围和影响的进一步了解,这一预期可能会发生变化。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2025-29915 | OISF Suricata up to 7.0.8 AF_PACKET Defrag Option signature verification (ID 5373 / Nessus ID 233809)

Vuldb Updates
3 months 4 weeks ago
A vulnerability was found in OISF Suricata up to 7.0.8. It has been classified as problematic. This affects an unknown part of the component AF_PACKET Defrag Option. The manipulation leads to improper verification of cryptographic signature. This vulnerability is uniquely identified as CVE-2025-29915. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2025-1693 | MongoDB mongosh up to 2.3.8 Control Character escape, meta, or control sequences (Nessus ID 234125)

Vuldb Updates
3 months 4 weeks ago
A vulnerability classified as problematic was found in MongoDB mongosh up to 2.3.8. This vulnerability affects unknown code of the component Control Character Handler. The manipulation leads to improper neutralization of escape, meta, or control sequences. This vulnerability was named CVE-2025-1693. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

Managed ad