Una vulnerabilidad recientemente descubierta en el Marco de trabajo React Next.js se le ha asignado un Puntuación CVSS de 9.1, marcándolo como un riesgo crítico de seguridad. Seguimiento como CVE-2025-29927, La falla puede ser explotada bajo condiciones específicas para omitir las comprobaciones de autorización basadas en middleware, potencialmente permitiendo acceso no autorizado a recursos privilegiados.
El problema surge de cómo Next.js maneja el x-middleware-subrequest encabezamiento, que se utiliza internamente para evitar bucles de solicitudes infinitos. Si se manipula, Este encabezado se puede utilizar para omitir la ejecución del middleware, Permitir que los atacantes eludan las comprobaciones de autorización basadas en cookies antes de llegar a rutas sensibles.
El investigador de seguridad Rachid Allam (también conocido como zhero y prueba en frío), ¿Quién descubrió la falla?, ha publicado detalles técnicos, Por lo que es crucial que los desarrolladores actúen rápidamente.
Parche para CVE-2025-29927 disponible para múltiples versiones
El equipo de Next.js ha abordado la vulnerabilidad en las siguientes versiones:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
Se recomienda a los usuarios que no puedan actualizar inmediatamente que bloqueen cualquier solicitud externa que contenga el x-middleware-subrequest encabezado lleguen a sus aplicaciones para reducir la exposición.
Riesgo para la autorización solo de middleware
De acuerdo a JFrog, Cualquier aplicación que dependa únicamente de middleware para la autorización de usuarios sin medidas de seguridad en capas es vulnerable. Los atacantes pueden explotar esta falla para obtener acceso a páginas reservadas para administradores o usuarios con privilegios elevados, lo que la convierte en una seria preocupación para las aplicaciones web que manejan datos confidenciales..
A la luz de la divulgación detallada y el interés activo en esta vulnerabilidad, Se insta a los desarrolladores a aplicar los últimos parches o adoptar estrategias de mitigación lo antes posible..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: