Una grave vulnerabilidad de seguridad ha sido revelada en el framework React de Next.js, la cual podría ser explotada para eludir verificaciones de autorización bajo ciertas condiciones. Esta vulnerabilidad, identificada como CVE-2025-29927, posee una puntuación CVSS de 9.1 sobre 10.0, indicando su alta severidad. Según un aviso de Next.js, el framework utiliza un encabezado interno denominado x-middleware-subrequest para evitar que las solicitudes recursivas desencadenen bucles infinitos.

El problema radica en que era posible omitir la ejecución del middleware, lo que permitía que las solicitudes pasaran por alto verificaciones críticas, como la validación de cookies de autorización, antes de llegar a las rutas finales. Esta deficiencia ha sido corregida en las versiones 12.3.5, 13.5.9, 14.2.25 y 15.2.3 de Next.js. En caso de que no sea posible aplicar el parche, se recomienda a los usuarios evitar que las solicitudes de usuarios externos que contengan el encabezado x-middleware-subrequest lleguen a la aplicación Next.js.

Captura de pantalla que muestra a la izquierda un editor de código con un archivo de middleware en Next.js, y a la derecha la herramienta Burp Suite enviando una petición HTTP manipulada con el encabezado x-middleware-subrequest para eludir autenticación.

El investigador de seguridad Rachid Allam, conocido como zhero y cold-try, es quien descubrió y reportó esta falla. Desde entonces, ha publicado detalles técnicos adicionales sobre la vulnerabilidad, lo que hace imperativo que los usuarios actúen rápidamente para aplicar las correcciones necesarias. Según JFrog, la vulnerabilidad permite a los atacantes eludir fácilmente las verificaciones de autorización realizadas en el middleware de Next.js, lo que potencialmente podría darles acceso a páginas web sensibles reservadas para administradores u otros usuarios con altos privilegios.

Además, JFrog advierte que cualquier sitio web que utilice middleware para autorizar a los usuarios sin verificaciones de autorización adicionales es vulnerable a CVE-2025-29927. Esto podría permitir a los atacantes acceder a recursos que de otro modo estarían restringidos, como páginas de administración. Por lo tanto, es crucial que los administradores de sistemas y desarrolladores implementen las actualizaciones de seguridad lo antes posible para proteger sus aplicaciones de posibles explotaciones.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí