{"id":1636160,"date":"2025-03-24T11:38:08","date_gmt":"2025-03-24T11:38:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-next-js-permite-a-los-atacantes-omitir-las-comprobaciones-de-autorizacion-de-middleware\/"},"modified":"2025-03-24T11:38:13","modified_gmt":"2025-03-24T11:38:13","slug":"la-vulnerabilidad-critica-next-js-permite-a-los-atacantes-omitir-las-comprobaciones-de-autorizacion-de-middleware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critica-next-js-permite-a-los-atacantes-omitir-las-comprobaciones-de-autorizacion-de-middleware\/","title":{"rendered":"La vulnerabilidad cr\u00edtica Next.js permite a los atacantes omitir las comprobaciones de autorizaci\u00f3n de middleware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ seguridad web<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado una falla de seguridad cr\u00edtica en el siguiente marco de reacci\u00f3n.<\/p>\n

La vulnerabilidad, rastreada como CVE-2025-29927<\/a><\/strong>lleva una puntuaci\u00f3n CVSS de 9.1 de 10.0.<\/p>\n

“Next.js utiliza un encabezado interno X-Middleware-subrequest para evitar que las solicitudes recursivas activen los bucles infinitos”, Next.js dicho<\/a> en un aviso. <\/p>\n

“Era posible omitir correr middleware<\/a>que podr\u00eda permitir que las solicitudes omitan los controles cr\u00edticos, como la validaci\u00f3n de cookies de autorizaci\u00f3n, antes de llegar a las rutas “.<\/p>\n

La deficiencia se ha abordado en las versiones 12.3.5, 13.5.9, 14.2.25 y 15.2.3. Si el parche no es una opci\u00f3n, se recomienda que los usuarios eviten que las solicitudes de usuarios externas que contengan el encabezado X-Middleware-subrequest alcance la aplicaci\u00f3n Next.js.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El investigador de seguridad Rachid Allam (tambi\u00e9n conocido como Zhero y Cold-Try), a quien se le atribuye descubrir e informar la falla, ha publicado desde entonces Detalles t\u00e9cnicos adicionales de la falla<\/a>haciendo que sea imperativo que los usuarios se muevan r\u00e1pidamente para aplicar las correcciones. <\/p>\n

\"\"<\/a><\/div>\n

“La vulnerabilidad permite a los atacantes omitir f\u00e1cilmente las verificaciones de autorizaci\u00f3n realizadas en el middleware Next.js, lo que potencialmente permite el acceso a los atacantes a p\u00e1ginas web confidenciales reservadas para administradores u otros usuarios de alto privilegio”, JFrog “, JFrog dicho<\/a>.<\/p>\n

La compa\u00f1\u00eda tambi\u00e9n dijo que cualquier sitio web anfitri\u00f3n que utilice el middleware para autorizar a los usuarios sin ninguna verificaci\u00f3n de autorizaci\u00f3n adicional es vulnerable a CVE-2025-29927, lo que puede permitir a los atacantes acceder a recursos no autorizados (por ejemplo, p\u00e1ginas de administraci\u00f3n).<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n