Um grave falha de segurança foi divulgada no framework React Next.js, que pode ser potencialmente explorada para burlar verificações de autorização sob certas condições.
A vulnerabilidade, identificada como
CVE-2025-29927
, recebeu uma pontuação CVSS de 9,1 em 10,0.
"O Next.js utiliza um cabeçalho interno x-middleware-subrequest para prevenir que requisições recursivas desencadeiem loops infinitos," disse o Next.js em um aviso.
Foi possível pular a execução de middleware, o que poderia permitir que requisições pulassem checagens críticas—como a validação de cookies de autorização—antes de alcançarem as rotas. A falha foi corrigida nas versões 12.3.5, 13.5.9, 14.2.25 e 15.2.3.
Caso a aplicação de patches não seja uma opção, é recomendado que os usuários impeçam que requisições externas de usuários que contenham o cabeçalho x-middleware-subrequest alcancem a aplicação Next.js.
O pesquisador de segurança Rachid Allam (também conhecido como zhero e cold-try), que é creditado por descobrir e reportar a falha, desde então publicou detalhes técnicos adicionais da falha, tornando imperativo que os usuários se movam rapidamente para aplicar as correções.
"A vulnerabilidade permite aos atacantes burlarem facilmente as verificações de autorização realizadas no middleware do Next.js, potencialmente permitindo aos atacantes acesso a páginas web sensíveis reservadas para administradores ou outros usuários de alto privilégio," disse a JFrog.
A empresa também disse que qualquer site hospedeiro que utiliza middleware para autorizar usuários sem quaisquer verificações de autorização adicionais está vulnerável ao
CVE-2025-29927
, potencialmente permitindo aos atacantes acessar recursos não autorizados (por exemplo, páginas de administração).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...