Se ha descubierto una vulnerabilidad de alta gravedad en Next.js, el popular framework de desarrollo web basado en React, que permite a atacantes evadir los mecanismos de autorización.
CVE-2025-29927 afecta todas las versiones de Next.js anteriores a 15.2.3, 14.2.25, 13.5.9 y 12.3.5. Se recomienda actualizar de inmediato, ya que los detalles técnicos sobre cómo explotar esta falla ya son públicos.
¿Por Qué Es Peligrosa Esta Falla?
Next.js, con más de 9 millones de descargas semanales en npm es utilizado por empresas como TikTok, Netflix, Uber y Nike. Su middleware maneja autenticación, autorización, geo-bloqueo y límites de acceso.
El problema radica en el encabezado ‘x-middleware-subrequest’, que controla si las reglas de autorización deben ejecutarse o no.
Un atacante puede agregar este encabezado con un valor específico en su solicitud y evitar cualquier control de seguridad.
Según los investigadores Allam Rachid y Allam Yasser (inzo_), quienes descubrieron la vulnerabilidad: «Este encabezado y su valor actúan como una llave maestra para anular las reglas de seguridad.»
¿Quiénes Están Afectados? ☠️
❌ Usuarios de Next.js en servidores propios con next start y output: standalone.
❌ Apps que usan middleware para autorización sin validaciones adicionales.
✅ NO están afectados los sitios en Vercel, Netlify o exportados como estáticos.
¿Cómo Mitigar la Vulnerabilidad? ️
Actualiza a las versiones seguras: 15.2.3, 14.2.25, 13.5.9 o 12.3.5. Si no puedes actualizar, bloquea solicitudes externas que incluyan el encabezado 'x-middleware-subrequest'.
La explotación de esta falla ya es pública, por lo que las empresas deben actuar de inmediato para evitar ataques. ⚠️
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.