Downloading @next/swc-darwin-arm64@15.2.3: 41.23 MB/41.23 MB, done
dependencies:
- next 15.1.0
+ next 15.2.3
Done in 4m 38.6s

NextJS auth middware 漏洞
漏洞概述
漏洞编号：CVE-2025-29927 / GHSA-f82v-jwr5-mffw 漏洞类型：授权绕过（ CWE-285 ） 严重级别：严重（ Critical ） CVSS 评分：9.1/10.0 影响版本：
11.1.4 至 13.5.6 14.0 至 14.2.24 15.0 至 15.2.2
漏洞简述
此漏洞允许攻击者通过添加特定 HTTP 请求头（ x-middleware-subrequest ）完全绕过在 Next.js 中间件中实现的授权检查，从而获取对受保护资源的未授权访问。由于许多 Next.js 应用仅在中间件层实现授权逻辑，这使得该漏洞的影响范围极广且危害严重。虽然 Vercel 修了但是没有完全修，self host 的 nextjs 用户还是会遇到问题。

Cloudflare 和 Vercel CEO 直接推特中门互狙。