كشفت التقارير عن وجود ثغرة أمنية بالغة الخطورة في إطار العمل Next.js المستخدم مع مكتبة React، والتي يمكن استغلالها لتجاوز عمليات التحقق من التفويض تحت ظروف معينة. تُعرف هذه الثغرة بالرمز CVE-2025-29927، وتحمل تقييمًا خطيرًا بدرجة 9.1 من أصل 10 وفقًا لمعيار CVSS.

تحليل الثغرة وتأثيرها

يستخدم Next.js ترويسة داخلية تُعرف بـ x-middleware-subrequest لمنع الطلبات المتكررة من إثارة حلقات لانهائية. ومع ذلك، تم اكتشاف أن بالإمكان تجاوز تنفيذ الوسيطات، مما يسمح للطلبات بتجاوز عمليات التحقق الحيوية مثل التحقق من ملفات تعريف الارتباط الخاصة بالتفويض قبل الوصول إلى المسارات المحددة.

من المهم ملاحظة أن هذه الثغرة تؤثر فقط على الإصدارات الذاتية الاستضافة التي تستخدم “next start” مع الخيار “output: standalone”. أما التطبيقات المستضافة على منصات مثل Vercel وNetlify أو التي تُنشر كصادرات ثابتة، فهي غير متأثرة.

الإجراءات المتخذة والحلول المقترحة

تم معالجة هذه المشكلة في إصدارات Next.js 12.3.5 و13.5.9 و14.2.25 و15.2.3. وفي حال عدم القدرة على تحديث النظام، يُوصى بمنع الطلبات الخارجية التي تحتوي على الترويسة x-middleware-subrequest من الوصول إلى تطبيق Next.js.

الباحث الأمني رشيد علام، المعروف بألقاب zhero وcold-try، هو من اكتشف وأبلغ عن هذه الثغرة، وقد نشر تفاصيل تقنية إضافية عنها، مما يجعل من الضروري على المستخدمين التحرك بسرعة لتطبيق الإصلاحات.

التأثيرات الأمنية ووجهات النظر الخبيرة

وفقًا لشركة JFrog، فإن هذه الثغرة تسمح للمهاجمين بتجاوز عمليات التحقق من التفويض التي يتم تنفيذها في الوسيطات الخاصة بـ Next.js، مما قد يتيح لهم الوصول إلى صفحات ويب حساسة محجوزة للمسؤولين أو مستخدمين ذوي امتيازات عالية. كما أوضحت الشركة أن أي موقع يستضيف محتوى يستخدم الوسيطات لتفويض المستخدمين دون إجراء عمليات تحقق إضافية معرض لهذه الثغرة، مما قد يمكن المهاجمين من الوصول إلى موارد غير مصرح لهم بها مثل صفحات الإدارة.

النقاش والمستقبل

مع تزايد الاعتماد على التكنولوجيا السحابية وإطار العمل Next.js في تطوير التطبيقات، كيف يمكن للمطورين تعزيز أمان تطبيقاتهم؟ وما هو الدور الذي يجب أن تلعبه الشركات في توعية وتدريب فرقها التقنية للتعامل مع مثل هذه الثغرات؟