Chào bạn! Tôi là Sharon, một quản lý sản phẩm từ Chaitin Tech – nơi chúng tôi 'thai nghén' ra SafeLine, một 'lá chắn thép' WAF (Web Application Firewall) mã nguồn mở, chuyên trị các mối đe dọa trực tuyến. Dù SafeLine tập trung bảo vệ lớp HTTP, đội phản ứng khẩn cấp của chúng tôi luôn 'canh chừng' và xử lý các lỗ hổng RCE hay xác thực trên toàn bộ hệ thống để đảm bảo các nhà phát triển của chúng ta luôn an toàn. Hôm nay, chúng ta sẽ 'bóc phốt' một lỗ hổng cực kỳ 'nguy hiểm' vừa bị lộ diện trong Next.js – 'ông lớn' của các framework dựa trên React! Vào tháng 3/2025, một lỗ hổng 'hạng nặng' đã được công bố trong Next.js – framework dựa trên React siêu 'hot' được Vercel chăm sóc. Lỗ hổng này, mang mã số CVE-2025-29927, cho phép 'tin tặc' 'qua mặt' các logic xử lý của middleware. Nghe đơn giản nhưng nó có thể 'đánh sập' hệ thống xác thực, các 'hàng rào' bảo mật (security headers) và cả quyền truy cập nữa đấy – đặc biệt là với các ứng dụng đang dùng Edge Middleware (mà cái này thì Next.js bật mặc định luôn rồi!). <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/broken_security_gate.png' alt='Minh họa bypass middleware bảo mật trong Next.js'><br>Vậy tại sao lại phải 'lo sốt vó' về nó? Đơn giản thôi, Next.js đang 'chống lưng' cho biết bao nhiêu nền tảng AI 'xịn xò' và các ứng dụng web hiện đại. Lỗ hổng này 'đánh thẳng' vào những ứng dụng phụ thuộc vào middleware để kiểm soát đăng nhập, chuyển hướng hay các quy tắc bảo mật. Team nghiên cứu của Chaitin Tech đã xác nhận 'bug' này đang 'hoành hành' trên kha khá ứng dụng AI nổi tiếng ngoài kia. Nếu bạn đang dùng Next.js kèm theo Edge Middleware, thì ứng dụng của bạn đang 'đứng trên dây thép' rồi đấy! <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/nextjs_ecosystem.png' alt='Next.js và các ứng dụng AI hiện đại'><br>Thông tin 'nóng hổi' về em nó đây:<br>Mã CVE: CVE-2025-29927 (nhớ kỹ nhé!)<br>Độ nghiêm trọng: CAO! (Không đùa được đâu)<br>Thể loại: Lỗi logic (khó lường hơn cả lỗi chính tả)<br>Cách kích hoạt: Chỉ cần gửi yêu cầu từ xa (quá dễ!)<br>Có cần đăng nhập không? KHÔNG! (Thế mới nguy)<br>Có cần người dùng tương tác không? KHÔNG! (Kẻ tấn công không cần 'dụ dỗ' ai cả)<br>Đã có PoC công khai chưa? CÓ RỒI! (Vâng, tin vui cho 'tin tặc'...)<br>Độ khó vá: Dễ (May quá! Có cách cứu vãn rồi)<br><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/high_risk_alert.png' alt='Biểu tượng cảnh báo rủi ro cao'><br>Đâu là 'gốc rễ' của vấn đề? Next.js có một 'anh bạn' header đặc biệt tên là `x-middleware-subrequest`. 'Anh bạn' này vốn được dùng để theo dõi các yêu cầu nội bộ (subrequest) của ứng dụng. Tuy nhiên, 'em nó' lại quá 'ngây thơ', không kiểm tra xem 'anh bạn' này có thực sự đến từ một nguồn đáng tin cậy bên trong hay không. Và thế là, 'tin tặc' có thể 'giả mạo' cái header này, 'đánh lừa' ứng dụng bỏ qua hết các luật lệ của middleware – kiểu như bỏ qua khâu kiểm tra đăng nhập hay các biện pháp bảo mật khác. Nghe như phim hành động vậy đó! <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/forged_header_concept.png' alt='Minh họa giả mạo header x-middleware-subrequest'><br>Vậy khi nào thì bạn 'dính chưởng'? Rất đơn giản, bạn sẽ 'lên thớt' nếu:<br><ul><li>Bạn đang dùng middleware của Next.js cho các tác vụ như xác thực (auth), chuyển hướng (redirect) hoặc bảo mật dựa trên header.</li><li>Bạn đang bật Edge Middleware (mà cái này thì Next.js bật mặc định rồi, nên khả năng cao là có!).</li><li>Và tất nhiên, bạn đang ở một trong các phiên bản bị ảnh hưởng (sẽ liệt kê ngay bên dưới đây).</li></ul><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/vulnerability_checklist.png' alt='Danh sách điều kiện dễ bị tấn công'><br>Hậu quả thì sao? 'Thảm họa' chứ sao nữa!<br><ul><li><b>Bỏ qua xác thực (Auth Bypass):</b> Kẻ xấu có thể 'thẳng tiến' vào các khu vực cấm như bảng quản trị (admin panel) hay API người dùng mà chẳng cần 'xin phép' (đăng nhập) gì cả. Cứ như đi vào nhà không cần chìa khóa vậy!</li><li><b>Bỏ qua logic bảo mật:</b> Các 'vệ sĩ' bảo mật như CSP (Content Security Policy) – giúp ngăn chặn tấn công XSS, hay các quy tắc chuyển hướng, thậm chí là bộ lọc của WAF (Web Application Firewall) mà bạn 'cất công' thiết lập trong middleware cũng có thể bị 'bỏ qua' cái một. Tưởng tượng xem, cửa đang khóa mà giờ lại thành cửa mở toang!</li></ul><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/auth_bypass_illustration.png' alt='Minh họa bypass xác thực và bảo mật'><br>Các phiên bản Next.js nào đang 'ôm bom'? Đây rồi:<br><ul><li>Từ 11.1.4 đến 13.5.6</li><li>Từ 14.0.0 đến 14.2.24</li><li>Từ 15.0.0 đến 15.2.2</li></ul>Kiểm tra phiên bản của bạn ngay nhé! <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/version_list_icon.png' alt='Danh sách các phiên bản bị ảnh hưởng'><br>Và đây là các phiên bản đã được 'chữa lành':<br><ul><li>14.2.25</li><li>15.2.3</li></ul>Nhanh tay 'lên đời' nào! <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/fixed_version_icon.png' alt='Biểu tượng phiên bản đã vá lỗi'><br>Vậy làm sao để 'chữa cháy'?<br><ul><li><b>Cách 'vá' vĩnh viễn (khuyên dùng):</b> Nâng cấp ngay và luôn lên phiên bản mới nhất đã được vá lỗi:<br><ul><li><a href="https://github.com/vercel/next.js/releases/tag/v14.2.25">Next.js 14.2.25</a></li><li><a href="https://github.com/vercel/next.js/releases/tag/v15.2.3">Next.js 15.2.3</a></li></ul></li><li><b>Giải pháp 'tạm thời' (nếu chưa nâng cấp được):</b><br><ul><li><b>'Lột sạch' Header:</b> 'Tống khứ' ngay cái header `x-middleware-subrequest` đáng nghi ngờ ở cấp độ proxy hoặc CDN (ví dụ như Nginx, Cloudflare). Cứ như 'cắt đứt' đường dây liên lạc của kẻ gian vậy!</li><li><b>Dùng luật WAF:</b> Thiết lập các quy tắc WAF (như với <a href="https://github.com/chaitin/safeline">SafeLine WAF</a>) để 'chặn đứng' hoặc 'làm sạch' cái header 'láo toét' đó. Hãy để WAF làm 'bảo vệ' cho bạn!</li></ul></li></ul><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/upgrade_solution.png' alt='Minh họa giải pháp nâng cấp hoặc vá tạm thời'><br>Và 'bằng chứng thép' đây! Một PoC (Proof of Concept) đã được công bố công khai, chứng minh lỗ hổng này có thật và có thể bị khai thác. Các nhà nghiên cứu bảo mật của Chaitin đã xác nhận việc khai thác bằng cách 'tiêm' một header `x-middleware-subrequest` giả mạo để 'lách luật' middleware. Tức là, họ đã chứng minh được 'chiêu' này hoạt động thật ngoài đời. <img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://dev-to-uploads.s3.amazonaws.com/uploads/articles/urdy2fr4188x0abihem4.png' alt='Minh họa khai thác lỗ hổng Next.js CVE-2025-29927 bằng cách giả mạo header x-middleware-subrequest'><br>Lộ trình 'phanh phui' sự thật:<br><ul><li>23/03/2025: Lỗ hổng chính thức được 'lên sóng' công khai.</li><li>23/03/2025: Lab phản ứng khẩn cấp của Chaitin đã 'tái tạo' thành công lỗi.</li><li>24/03/2025: Thông báo và bản vá lỗi được tung ra. (Nhanh như chớp!)</li></ul><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/timeline_icon.png' alt='Minh họa dòng thời gian phát hiện và vá lỗi'><br>Tham khảo thêm tại đây nhé: GitHub Advisory: <a href="https://github.com/advisories/GHSA-f82v-jwr5-mffw">GHSA-f82v-jwr5-mffw</a><br>Lời cuối, nhưng không kém phần quan trọng: Đây là một lỗ hổng logic CỰC KỲ nghiêm trọng, ảnh hưởng trực tiếp đến cách middleware của Next.js hoạt động. Nếu ứng dụng của bạn đang 'treo' vào middleware cho các quy trình bảo mật 'sống còn', thì đừng chần chừ nữa! Hãy hành động NGAY BÂY GIỜ. Nâng cấp lên phiên bản đã được vá lỗi hoặc áp dụng các biện pháp bảo vệ tạm thời cho đến khi bạn có thể nâng cấp. Đừng để 'sập tiệm' vì một lỗ hổng 'vớ vẩn' nhé!<br>Và nếu bạn muốn 'bắt tay' cùng SafeLine để bảo vệ thế giới web, hãy ghé thăm cộng đồng chúng tôi:<br><ul><li><a href="https://github.com/chaitin/safeline">GitHub SafeLine</a></li><li><a href="https://docs.waf.chaitin.com/">Tài liệu chính thức</a></li><li><a href="https://discord.gg/dy3JT7dkmY">Cộng đồng Discord</a></li></ul><img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/call_to_action.png' alt='Minh họa tham gia cộng đồng SafeLine'>

Lê Lân

20/07/2025

Tìm hiểu về Red Teaming trong phát triển hệ thống AI: Tại sao nó quan trọng và các công cụ hàng đầu như Promptfoo, DeepTeam, PyRIT, Garak giúp bạn đảm bảo an toàn cho AI của mình như thế nào.

Lê Lân

11/07/2025

Chào cả nhà! Sharon đây, một quản lý sản phẩm từ Chaitin Tech, xin phép 'bật mí' ngay một tin cực nóng hổi dành cho các bạn đang xài Next.js để dựng ứng dụng web hiện đại nhé! Hồi tháng 3/2025 vừa rồi, một lỗ hổng bảo mật "siêu to khổng lồ" (nghe thôi đã thấy ghê rồi!) mang mã số CVE-2025-29927 đã được công bố. Lỗ hổng này khiến không ít ứng dụng Next.js đang chạy bỗng dưng "bay màu" vì bị qua mặt các lớp bảo mật quan trọng. Bạn có tò mò chuyện gì đã xảy ra không? Cùng mình "mổ xẻ" vụ này nhé!Mọi rắc rối bắt nguồn từ cách Next.js xử lý một header nội bộ đặc biệt có tên x-middleware-subrequest. Về cơ bản, header này giống như một "mật mã riêng" mà Next.js dùng để "nói chuyện" nội bộ với chính nó. NHƯNG, oái oăm thay, nó lại không được kiểm tra kỹ lưỡng khi có yêu cầu từ bên ngoài gửi vào. Kết quả là gì? Kẻ xấu có thể dễ dàng giả mạo cái header này, chèn nó vào yêu cầu của họ. Và thế là, những logic bảo mật quan trọng như xác thực người dùng, chuyển hướng trang, hay các bộ lọc an ninh khác trong middleware... bỗng dưng bị "phớt lờ" một cách không thể tin được! Nghe đáng sợ đúng không?<img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/vulnerability_bypass.png' alt='Minh họa cơ chế bypass lỗ hổng Next.js'>Điều này đặc biệt nguy hiểm cho các ứng dụng đang dùng Edge Middleware (mà bạn biết đấy, cái này lại là mặc định trong các phiên bản Next.js gần đây!), nhất là những nơi cần bảo vệ các tuyến đường nhạy cảm như trang quản trị hay API. Đội ngũ nghiên cứu tài tình của Chaitin Tech đã xác nhận lỗ hổng này có thể ảnh hưởng đến rất nhiều ứng dụng AI đình đám hiện nay nữa đó!Vấn đề cốt lõi là Next.js quá "ngây thơ" khi tin tưởng sự hiện diện của x-middleware-subrequest mà chẳng thèm xác minh xem nó đến từ đâu. Cứ như một "người gác cổng" chỉ cần thấy ai đó cầm "vé VIP" là cho qua, mà không buồn kiểm tra xem vé đó có phải hàng "fake" hay không vậy! Kẻ tấn công chỉ cần "nhét" cái header này vào yêu cầu của họ là có thể "đánh lừa" Next.js bỏ qua hàng loạt bước kiểm tra an ninh, thoát khỏi các quy tắc xác thực, kiểm tra quyền hạn, hay thậm chí là vô hiệu hóa các header quan trọng như CSP (Content Security Policy). Thật sự quá nguy hiểm!Vậy, làm sao để biết ứng dụng của bạn có đang nằm trong tầm ngắm không? Rất đơn giản, chỉ cần thỏa mãn các điều kiện sau:Ứng dụng của bạn đang dùng Next.js middleware cho các tác vụ quan trọng như xác thực (authentication), chuyển hướng (redirects), hoặc lọc yêu cầu (request filtering).Middleware đang chạy ở chế độ Edge Function (à, mà đây lại là chế độ mặc định trong các phiên bản gần đây đó nha!).Các yêu cầu từ bên ngoài có thể chứa các custom header (hầu hết các ứng dụng đều có thể làm được điều này).Nếu bạn đã "gật gù" với cả 3 điều trên, thì xin chia buồn, ứng dụng của bạn đang có nguy cơ bị tấn công đó!Hậu quả của lỗ hổng này có thể khiến bạn "đau đầu" lắm đấy:Bỏ qua xác thực (Auth Bypass): Kẻ xấu có thể "thẳng tiến" vào các trang hoặc API được bảo vệ (như bảng điều khiển quản trị, dữ liệu người dùng) mà chẳng cần đăng nhập hay có bất kỳ quyền hạn nào. Cứ như "cửa mở toang" chờ khách vậy!Vô hiệu hóa các biện pháp kiểm soát an ninh: Các biện pháp bảo mật do middleware định nghĩa, chẳng hạn như CSP, kiểm soát header, hay các bộ lọc khác, đều có thể bị bỏ qua. Điều này làm tăng rủi ro cho các cuộc tấn công kiểu XSS (Cross-Site Scripting) hoặc các dạng tấn công tương tự khác.Không cần tương tác người dùng: Kẻ tấn công có thể khai thác lỗ hổng này từ xa, mà không cần người dùng phải bấm click hay đăng nhập gì cả. Cứ như một "thế lực vô hình" tự động gây hại vậy!Nào, giờ là phần quan trọng nhất đây: ứng dụng của bạn có đang dùng phiên bản "có bệnh" không? Lỗ hổng này ảnh hưởng đến các phiên bản Next.js:Từ 11.1.4 đến 13.5.6.Từ 14.0.0 đến 14.2.24.Từ 15.0.0 đến 15.2.2.Tin vui là đội ngũ Next.js đã nhanh chóng tung ra bản vá lỗi rồi! Các phiên bản đã được "chữa lành" là:14.2.25.15.2.3.Vậy, làm sao để "chữa bệnh" cho ứng dụng của bạn đây? Đơn giản thôi, hãy nâng cấp NGAY LẬP TỨC! Nếu bạn đang dùng một trong các phiên bản "có bệnh" kể trên, đừng chần chừ nữa, hãy update lên phiên bản đã vá lỗi ngay:npm install [email protected]ặc nếu bạn dùng phiên bản 15:npm install [email protected]ệc này giống như tiêm vắc-xin cho ứng dụng của bạn vậy, cực kỳ cần thiết và đơn giản!<img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://i.imgur.com/update_now.png' alt='Nâng cấp phiên bản Next.js ngay lập tức'>Phòng bị tạm thời (nếu chưa nâng cấp được):Trong trường hợp bạn không thể nâng cấp ngay lập tức (ví dụ: đang giữa dự án cấp bách không thể ngắt quãng), có hai "phương án chữa cháy" tạm thời mà bạn có thể áp dụng:Xóa bỏ Header này: Sử dụng một reverse proxy (như Nginx) để loại bỏ header x-middleware-subrequest khỏi TẤT CẢ các yêu cầu từ bên ngoài.Lọc ở CDN/WAF: Chặn hoặc làm sạch header này ngay tại lớp gateway của bạn (ví dụ: CDN hoặc tường lửa ứng dụng web - WAF).Tuy nhiên, hãy nhớ nhé, đây CHỈ LÀ giải pháp tạm thời! Nâng cấp vẫn luôn là cách an toàn và bền vững nhất để bảo vệ ứng dụng của bạn!À quên, các nhà nghiên cứu còn công khai POC (Proof of Concept) hoạt động rồi đấy. Điều này có nghĩa là lỗ hổng này không chỉ tồn tại trên lý thuyết mà đã có cách để khai thác thực tế. Họ đã chứng minh cách khai thác bằng cách gửi các yêu cầu được "chế tạo" đặc biệt với header giả mạo. Các bạn có thể tìm hiểu thêm để hiểu rõ hơn cơ chế này nhé.<img src='https://truyentranh.letranglan.top/api/v1/proxy?url=https://media2.dev.to/dynamic/image/width=800%2Cheight=%2Cfit=scale-down%2Cgravity=auto%2Cformat=auto/https%3A%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F0u9ezicsdactdo1vsyig.png' alt='Hình ảnh minh họa POC của lỗ hổng Next.js'>Cái này thì để các bạn nắm rõ timeline các sự kiện nhé:23 tháng 3 năm 2025: Lỗ hổng được công khai.23 tháng 3 năm 2025: Chaitin Security Lab đã tái hiện thành công cách khai thác.24 tháng 3 năm 2025: Chaitin phát hành cảnh báo khẩn cấp.Bạn muốn tìm hiểu sâu hơn? Tham khảo tại đây:GitHub Advisory: <a href="https://github.com/advisories/GHSA-f82v-jwr5-mffw">https://github.com/advisories/GHSA-f82v-jwr5-mffw</a>Lời khuyên cuối cùng từ Sharon: Luôn luôn kiểm tra những gì bạn đang tin tưởng, đặc biệt là các header trong request. Đừng bao giờ cho rằng chúng an toàn chỉ vì chúng tồn tại. Hãy luôn "cẩn tắc vô áy náy" để ứng dụng của chúng ta luôn được bảo vệ nhé! Stay safe!

Lê Lân

15/06/2025