Next.js Middlewareの認証バイパス脆弱性 ：52万件以上のWeb資産が危険にさらされる

2025年3月21日、Vercelが提供するNext.jsフレームワークにおいて、認証バイパス脆弱性「CVE-2025-29927」が公開されました。今回の記事では、 Next.js Middlewareの認証バイパス脆弱性 「CVE-2025-29927」の脅威と影響を受ける露出したインスタンスの分析、そしてセキュリティ対策について解説します。

Next.js Middlewareの認証バイパス脆弱性 「CVE-2025-29927」の概要

この脆弱性は、Next.jsのMiddlewareがHTTPリクエスト処理のプロセスで認証状態を適切に確認できないことに起因しており、未認証のユーザーが本来アクセスできない保護されたリソースにアクセスできてしまうという重大なセキュリティ欠陥です。
Vercelの公式発表によると、本脆弱性はNext.jsのbeforeFilesルーティング処理ロジックに関連しており、v14.1.0-canary.35以上のバージョンで修正されました。

• 脆弱性 ID：CVE-2025-29927
• 公開日：2025年3月27日
• 影響を受けるバージョン：Next.js 14.2.25未満
• 公式修正版：Next.js 12.3.5、13.5.9、14.2.25、15.2.3バージョンで修正
• 深刻度（CVSS）：High

Criminal IPを活用した Next.js Middleware認証バイパス脆弱性 の脅威ハンティング結果

脅威インテリジェンス検索エンジンである「Criminal IP」で「”X Powered By: Next.js”」のクエリを検索することで、全世界に公開されているNext.jsインスタンスを検出することができます。

Criminal IPの検索クエリ：“X Powered By: Next.js”

• https://www.criminalip.io/ja/asset/search?query=%22X+Powered+By%3A+Next.js%22 

Criminal IPで「”X Powered By: Next.js”」HTTPヘッダーを含む資産を検出した結果、合計528,421件が確認されました。このうち、すでに脆弱な状態で複数のCVEに影響を受けている資産も多数含まれていました。

Next.js資産の詳細分析と脆弱性

特に、以下のように、特定IPアドレスのレポートページでは、当IPアドレスのオープンポート情報や、既知の脆弱性の有無、エクスプロイトDBの状況などを確認することができます。

当IPアドレスは、Next.js Middlewareの脆弱性の影響を受ける可能性のある資産の一つであり、ポート80および443が開放されていて、4件の脆弱性のうち、1件のエクスプロイトDBが検知されました。

<Criminal IPの脅威ハンティングにより検出された、Next.jsの脆弱性の脅威にさらされているIPアドレスのレポート>

当該サーバーにすでに存在する既知の脆弱性の一つに、CVE-2023-44487が含まれています。この脆弱性はHTTP/2 Rapid Resetの脆弱性であり、攻撃者が短時間で大量のストリームを生成・リセットすることで、サーバーのリソースを過剰に消費させ、DDoS攻撃を引き起こす可能性のある重大な問題です。
Cloudflare、Google、AWSなどの主要なクラウドプロバイダーも、この脆弱性を悪用した大規模な実際の攻撃事例を報告したことがあります。

さらに、この脆弱性にはすでにGitHub上でPoC（概念実証コード）が公開されており、セキュリティパッチが未適用のサーバーは、現実的な悪用リスクにさらされやすい状態です。つまり、こうした露出した資産の脆弱性は単なる潜在的リスクではなく、実際の攻撃に利用されるリスクが極めて高いことを意味します

このように、Criminal IPは世界中の大規模なWeb資産の状態をリアルタイムで検出し、ヘッダーに基づいて把握できる攻撃において、事前防御および対応戦略の策定に活用されます。

FAQ（よくある質問）

Q1.　Next.jsとは？

Next.jsは、ReactベースのWebフレームワークであり、SSR（サーバーサイドレンダリング）、APIルート、画像の最適化など、さまざまな機能を提供します。そのため、フロントエンドエンジニアの間で広く利用されています。

Q2.　「CVE-2025-29927」にはどのような問題がありますか？

Next.js Middlewareが認証状態を正しく確認せず、リクエストを許可してしまう問題に起因します。その結果、本来は認証が必要なページやAPIエンドポイントに、未認証のままアクセスできてしまう問題が生じます。

Q3.　どのように対応すればよいですか？

Vercelは、この脆弱性が修正されたバージョンである12.3.5、13.5.9、14.2.25、15.2.3にアップデートすることを勧告しており、影響を受けるバージョンは直ちにパッチの適用が必要です。

Q4.　どのような方法で露出した資産を確認できますか？

ShodanやCriminal IPのような脅威インテリジェンスプラットフォームでHTTPヘッダー「”X Powered By: Next.js”」を含むWeb資産を検索することで、脆弱性の影響を受けやすいシステムを特定することができます。

結論

Next.jsは、数十万のウェブサービスで使用される人気フレームワークであるため、今回紹介したCVE-2025-29927は世界的に広範囲に影響を及ぼす可能性があります。実際、Criminal IPで数十万件の露出したサービスが確認されたため、脆弱性への対応は先制的に行われる必要があります。

Next.jsベースのシステムを運用するすべての組織は、速やかにパッチの適用とセキュリティ診断を実施することが強く推奨されます。Criminal IPを活用した資産の識別とリアルタイム検出は、攻撃者のアクセスに先んじて脅威に対応できる重要な戦略となります。

関連して_{AMI MegaRAC BMCの脆弱性分析とCriminal IPによる検出戦略}をご参照ください。

---

データ提供：Criminal IP（https://www.criminalip.io/ja）、BleepingComputer（Critical flaw in Next.js lets hackers bypass authorization）

ご参照： 

https://www.criminalip.io/ja/knowledge-hub/blog/5497