Next.js Açık Kaynak Çerçevesi, Kritik Güvenlik Açığından Etkilendi

Araştırmacılar, yaygın olarak kullanılan açık kaynaklı bir React çerçevesi olan Next.js’deki bir güvenlik açığını yakın zamanda ortaya çıkardılar. Bu güvenlik açığı, kötü niyetli aktörlerin ara yazılımda yetkilendirmeyi atlamalarına ve sistemlere erişim sağlamalarına olanak tanıyor. CVE-2025-29927 olarak etiketlenen bu kusur, Vercel tarafından hafifletilmiştir.

Cyberscoop ‘a göre, siber güvenlik araştırmacıları Allam Yasser ve Allam Rachid, 27 Şubat’ta bu zafiyeti tespit ettiler ve Vercel’e bildirdiler. Vercel, Next.js’yi oluşturan ve bakımını yapan bulut şirketidir.

Vercel, bu zafiyeti kabul etti ve etkilenen tüm sürümler için yaklaşık iki hafta sonra yamalar yayınladı. Geçtiğimiz Cuma, şirket ayrıca bir güvenlik uyarısı da yayınladı.

“Tüm self-hosted Next.js dağıtımlarının next start ve output: ‘standalone’ kullanarak hemen güncelleme yapmalarını öneriyoruz,” diye belirtiyor Next.js’in uyarısı.

Belge, etkilenen uygulamaların kendileri tarafından barındırılan ve şu anda Middleware’ı kullananlar olduğunu açıklıyor. Vercel, Netlify’de barındırılan ya da “statik olarak dışa aktarılan” uygulamalar CVE-2025-29927 zafiyetinden etkilenmiyor. Cloudflare kullananların bir Yönetilen WAF kuralını aktif hale getirmeleri önerilir.

“Herhangi aktif bir istismarın farkında değiliz,” dedi Ty Sbano, Vercel’deki Baş Bilgi Güvenliği Sorumlusu (CISO) Cyberscoop’a. “Eğer birisi bir Next.js uygulamasını Vercel dışında bir yerde barındırırsa, çalışma zamanı veya analitiklerine dair bir görünürlüğümüz olmaz. Vercel ve Netlify gibi platformlar etkilenmedi.”

Bulut şirketi, Next.js kullanan kaç uygulamanın kendi kendine barındırılan platformlarda aktif olduğuna dair kesin verilere sahip değil.

Rachid, milyonlarca kullanıcıyı etkileyen bu hatayı ortaya çıkarmak için yaptıkları araştırmanın daha fazla detayını bu blogda, Next.js ve bozuk ara yazılım: yetkilendirme artefaktı adlı makale ile paylaştı.

“Eleştirel bir güvenlik açığı herhangi bir yazılımda ortaya çıkabilir, ancak bu durum en popüler çerçevelerden birini etkilediğinde, özellikle tehlikeli hale gelir ve geniş ekosistem için ciddi sonuçları olabilir,” diye yazdı Rachid.

Uzman, şirketin riski hafifletme konusundaki yanıt süresini de ele aldı. “Güvenlik açığı, Vercel ekibi tarafından ele alınmak için birkaç gün sürdü, ancak bunun farkına vardıklarında, bir düzeltme birkaç saat içinde (geri alma işlemlerini de içererek) taahhüt edildi, birleştirildi ve yeni bir sürümde uygulandı,” dedi.

Birkaç gün önce, Siber güvenlik uzmanları Pillar Security’de, GitHub Copilot ve Cursor adlı iki popüler kodlama asistanında bir güvenlik açığı keşfetti.