Un script Python appelé Ghost-Route vérifie les sites web Next.js pour la vulnérabilité CVE-2025-29927. Cette vulnérabilité permet un accès non autorisé à des routes protégées via un en-tête HTTP personnalisé. Les versions 11.1.4 et supérieures de Next.js sont affectées. Le script nécessite le clonage du dépôt et l'installation des dépendances dans un environnement virtuel. Les utilisateurs doivent fournir l'URL de base du site web cible et le chemin protégé à tester. Un argument optionnel affiche les en-têtes de réponse. L'outil est strictement à des fins éducatives et l'utilisation non autorisée est déconseillée. Il est attribué à la recherche de Rachid A. Yasser Allam sur Next.js et les middleware corrompus. Le script est publié sous la licence MIT.