Una vulnerabilidad recientemente descubierta en el Marco de trabajo React Next.js se le ha asignado un Puntuación CVSS de 9.1, marcándolo como un riesgo crítico de seguridad. Seguimiento como CVE-2025-29927, La falla puede ser explotada bajo condiciones específicas para omitir las comprobaciones de autorización basadas en middleware, potencialmente permitiendo acceso no autorizado a recursos privilegiados.
El problema surge de cómo Next.js maneja el x-middleware-subrequest
encabezamiento, que se utiliza internamente para evitar bucles de solicitudes infinitos. Si se manipula, Este encabezado se puede utilizar para omitir la ejecución del middleware, Permitir que los atacantes eludan las comprobaciones de autorización basadas en cookies antes de llegar a rutas sensibles.
El investigador de seguridad Rachid Allam (también conocido como zhero y prueba en frío), ¿Quién descubrió la falla?, ha publicado detalles técnicos, Por lo que es crucial que los desarrolladores actúen rápidamente.
Parche para CVE-2025-29927 disponible para múltiples versiones
El equipo de Next.js ha abordado la vulnerabilidad en las siguientes versiones:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
Se recomienda a los usuarios que no puedan actualizar inmediatamente que bloqueen cualquier solicitud externa que contenga el x-middleware-subrequest
encabezado lleguen a sus aplicaciones para reducir la exposición.
Riesgo para la autorización solo de middleware
De acuerdo a JFrog, Cualquier aplicación que dependa únicamente de middleware para la autorización de usuarios sin medidas de seguridad en capas es vulnerable. Los atacantes pueden explotar esta falla para obtener acceso a páginas reservadas para administradores o usuarios con privilegios elevados, lo que la convierte en una seria preocupación para las aplicaciones web que manejan datos confidenciales..
A la luz de la divulgación detallada y el interés activo en esta vulnerabilidad, Se insta a los desarrolladores a aplicar los últimos parches o adoptar estrategias de mitigación lo antes posible..