Uma vulnerabilidade recentemente divulgada no Estrutura React Next.js foi atribuído um pontuação CVSS de 9.1, marcando-o como um risco crítico de segurança. Rastreado como CVE-2025-29927, a falha pode ser explorada sob condições específicas para ignorar verificações de autorização baseadas em middleware, potencialmente permitindo acesso não autorizado a recursos privilegiados.
O problema decorre de como o Next.js lida com o x-middleware-subrequest cabeçalho, que é usado internamente para evitar loops de solicitação infinitos. Se manipulado, este cabeçalho pode ser usado para pular execução do middleware, permitindo que os invasores ignorem as verificações de autorização baseadas em cookies antes de atingir rotas confidenciais.
Pesquisador de segurança Rachid Allam (também conhecido como Zhero e tentativa fria), quem descobriu a falha, publicou detalhes técnicos, tornando crucial que os desenvolvedores ajam rapidamente.
Patch para CVE-2025-29927 disponível para várias versões
A equipe Next.js abordou a vulnerabilidade nas seguintes versões:
- 12.3.5
- 13.5.9
- 14.2.25
- 15.2.3
Os usuários que não puderem atualizar imediatamente são aconselhados a >bloquear quaisquer solicitações externas que contenham o x-middleware-subrequest cabeçalho de atingir seus aplicativos para reduzir a exposição.
Risco para autorização somente de middleware
De acordo com J-Sapo, qualquer aplicação que dependa exclusivamente de middleware para autorização do usuário sem medidas de segurança em camadas é vulnerável. Os invasores podem explorar essa falha para obter acesso a páginas reservadas para administradores ou usuários com privilégios elevados, o que a torna uma preocupação séria para aplicativos da web que lidam com dados confidenciais..
À luz da divulgação detalhada e do interesse ativo nesta vulnerabilidade, os desenvolvedores são instados a aplicar os patches mais recentes ou adotar estratégias de mitigação o mais rápido possível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: