Una vulnerabilidad crítica en el marco de desarrollo web Next.JS podría permitir a los piratas informáticos omitir las verificaciones de autorización. Rastreado como CVE-2025-29927la falla permite a los atacantes enviar solicitudes directamente a las rutas de destino, saltando protocolos de seguridad cruciales.
Next.js, un marco React ampliamente utilizado con más de 9 millones de semanales Descargas NPMes favorecido por los desarrolladores para construir aplicaciones web de pila completa. Empresas como Tiktok, Twitch, Hulu, Netflix, Uber y Nike usan el marco para sus sitios y aplicaciones.
Los componentes de middleware en las tareas de manejamiento de Next.js, como autenticación, autorización, registro y redireccionamiento de usuarios antes de que una solicitud llegue al sistema de enrutamiento de aplicaciones. Para evitar bucles infinitos, Next.js emplea un encabezado ‘X-Middleware-subrequest’, que determina si se deben aplicar funciones de middleware.
La función ‘runmiddleware’ verifica este encabezado. Si se detecta con un valor específico, pasa por alto toda la ejecución del middleware, reenviando la solicitud directamente a su destino. Un atacante puede explotar esto enviando manualmente una solicitud con el valor de encabezado correcto.
Investigadores Alam Rachid y Allam Yasser (inzo_), quien identificó el vulnerabilidaddeclaró que «el encabezado y su valor actúan como una clave universal que permite que las reglas sean anuladas».
El problema de seguridad afecta a todas las versiones Next.js antes del 15.2.3, 14.2.25, 13.5.9 y 12.3.5. Los usuarios deben actualizarse de inmediato, ya que los detalles técnicos para explotar la vulnerabilidad ahora son públicos.
Boletín de seguridad de Next.js especifica que CVE-2025-29927 solo afecta las versiones autohospedadas usando ‘Siguiente inicio’ con ‘Salida: Standalone’. Las aplicaciones alojadas en Vercely y Netlify, o las implementadas como exportaciones estáticas, no se ven afectadas.
Los entornos donde se utilizan el middleware para la autorización o las verificaciones de seguridad sin la validación posterior en la aplicación están en riesgo.
Si el parche no es inmediatamente factible, el curso de acción sugerido es bloquear cualquier solicitud de usuario externa que incluya el encabezado ‘X-Middleware-subrequest’.
