대화형 웹 애플리케이션을 구축하거나 관리하기 위해 Next.js 프레임워크를 사용하는 개발자와 웹 관리자는 중요한 취약점을 해결하기 위해 보안 업데이트를 설치해야 한다.

이 취약점(CVE-2025-29927)은 서비스에 연결하기 위해 “미들웨어” 기능이 활성화된 경우 인증 우회를 허용한다. Next.js가 연결하는 미들웨어가 인증, 액세스 제어 또는 세션 쿠키의 유효성 확인과 같은 보안 기능을 수행하는 경우 이 취약점은 매우 중요하다.

SANS 연구소의 연구 책임자 요하네스 울리히는 “이 취약점으로 인해 인증 제어나 쿠키 유효성 확인을 우회할 수 있다”라고 말했다.

울리히에 따르면 이 취약점은 아주 작은 인증 우회를 허용한다. 예를 들어, 전자상거래 사이트에서 Next.js를 사용하는 경우, 위협 행위자가 해야 할 일은 일반 고객으로 로그인해 회사의 프레임워크 사용을 살펴본 다음 보안 제어를 조작하는 것이다. 그리고 보안 우회용으로 간단한 헤더를 추가하는 것만으로 권한이 부여되는 관리자 기능 같은 것에 액세스할 수 있다.

취약점을 발견한 연구자 라키드 에이와 야세르 알람은 모든 버전이 영향을 받고 악용 가능성에 대한 사전 조건이 없기 때문에 그 영향이 상당할 것으로 전망했다.

연구진에 따르면 버전 11.1.4부터 모든 버전의 Next.js가 취약하다. 개발자와 관리자는 Next.js 15.x가 버전 15.2.3을 사용하고 있는지 즉시 확인해야 한다. 버전 14.x를 계속 사용하려면 최소한 14.2.25로 업그레이드해야 한다.

“미들웨어” 명령을 호출하지 않는 온-프레미스 애플리케이션(다음 시작 출력: standalone)이나 Next.js를 개발하는 버셀(Vercel) 또는 네틀리파이(Netlify)에서 호스팅되는 애플리케이션은 영향을 받지 않는다.

버셀을 안전한 버전으로 패치하는 것이 불가능하다면 관리자가 x-middleware-subrequest 헤더가 포함된 외부 사용자 요청이 Next.js 애플리케이션에 도달하지 못하도록 차단할 것을 권장한다.

Next.js는 오픈소스 도구이지만, 울리히는 상용 도구도 헤더에 유사한 취약점이 있다고 지적했다.

또 울리히는 특히 클라우드 배포를 목표로 하는 경우, 현대적인 웹 애플리케이션이 구축되는 방식에 취약점이 있다고 말했다. 이러한 애플리케이션은 사용자의 요청에 대한 답을 찾기 위해 요청을 주고받는 다양한 구성 요소로 구축된다. 보통 권한 부여를 단축하거나 단순화하기 위해 사용된다. 그러나 제대로 수행되지 않으면 우회 취약점이 발생하게 된다.

울리히는 다른 개발 프레임워크에도 유사한 취약점이 있을 가능성이 높다고 경고했다.
dl-itworldkorea@foundryco.com