主要观点：2025 年 3 月 22 日 Next.js 披露中间件层存在身份验证绕过漏洞，利用此漏洞可通过发送额外 HTTP 头实现，CVE-2025-29927 被评为严重级（CVSSv3 基础分为 9.1），成功利用该漏洞可让远程攻击者绕过中间件层的安全检查包括多种身份验证，Next.js 建议客户升级到 15.2.3 或 14.2.25，无法升级的用户可在请求到达应用前过滤x-middleware-subrequest头，可通过 runZero 的服务清单查询定位运行 Next.js 的资产，有两种查询语句。
关键信息：披露时间为 2025 年 3 月 22 日，漏洞影响中间件层安全，CVE 编号为 CVE-2025-29927 及评级，升级版本，过滤头建议，runZero 查询语句。
重要细节：具体利用方式见研究论文，Next.js 建议的升级版本及针对无法升级用户的建议，runZero 两种查询语句的具体内容及作用。