Se ha revelado una falla de seguridad crítica en el siguiente marco de reacción.
La vulnerabilidad, rastreada como CVE-2025-29927lleva una puntuación CVSS de 9.1 de 10.0.
“Next.js utiliza un encabezado interno X-Middleware-subrequest para evitar que las solicitudes recursivas activen los bucles infinitos”, Next.js dicho en un aviso.
“Era posible omitir correr middlewareque podría permitir que las solicitudes omitan los controles críticos, como la validación de cookies de autorización, antes de llegar a las rutas “.
La deficiencia se ha abordado en las versiones 12.3.5, 13.5.9, 14.2.25 y 15.2.3. Si el parche no es una opción, se recomienda que los usuarios eviten que las solicitudes de usuarios externas que contengan el encabezado X-Middleware-subrequest alcance la aplicación Next.js.
El investigador de seguridad Rachid Allam (también conocido como Zhero y Cold-Try), a quien se le atribuye descubrir e informar la falla, ha publicado desde entonces Detalles técnicos adicionales de la fallahaciendo que sea imperativo que los usuarios se muevan rápidamente para aplicar las correcciones.
“La vulnerabilidad permite a los atacantes omitir fácilmente las verificaciones de autorización realizadas en el middleware Next.js, lo que potencialmente permite el acceso a los atacantes a páginas web confidenciales reservadas para administradores u otros usuarios de alto privilegio”, JFrog “, JFrog dicho.
La compañía también dijo que cualquier sitio web anfitrión que utilice el middleware para autorizar a los usuarios sin ninguna verificación de autorización adicional es vulnerable a CVE-2025-29927, lo que puede permitir a los atacantes acceder a recursos no autorizados (por ejemplo, páginas de administración).
About the Author
