ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2025-24  Falla Crítica en Next.js: Vulnerabilidad Permite Evasión de Autorización

Producto(s) afectado(s): 

Paquete: Next.js (npm)

Versiones Vulnerables:

  • 11.1.4 y < 12.3.5
  • 14.0 y < 14.2.25
  • 15.0 y < 15.2.3
  • = 13.0.0 y < 13.5.9

Descripción

Se ha identificado una falla de seguridad crítica en el framework Next.js, específicamente en su implementación de middleware, lo que podría permitir a atacantes eludir verificaciones de autorización en determinadas condiciones. La vulnerabilidad, catalogada como CVE-2025-29927, posee una puntuación CVSS de 9.1/10.

Dicha vulnerabilidad indica un alto riesgo de explotación. El problema radica en la manipulación del encabezado interno x-middleware-subrequest, el cual Next.js utiliza para evitar bucles infinitos en solicitudes recursivas. Un atacante podría aprovechar esta debilidad para omitir la ejecución del middleware, permitiéndole eludir validaciones críticas, como la verificación de cookies de autorización, antes de acceder a rutas protegidas.

Esta vulnerabilidad permite a los atacantes evitar los controles de autorización del middleware de Next.js, lo que podría facilitar el acceso a contenido restringido, como páginas administrativas o recursos exclusivos para usuarios con privilegios elevados. Dado que el middleware se ejecuta antes de que las rutas coincidan y el contenido en caché sea servido, su omisión representa un riesgo grave para la seguridad de las aplicaciones afectadas.

Mitigación

Si no es posible aplicar una actualización, se recomienda bloquear las solicitudes externas que contengan el encabezado x-middleware-subrequest para evitar la explotación de esta vulnerabilidad en su aplicación Next.js.

Solución

Se recomienda actualizar Next.js a las siguientes versiones seguras:

  • Next.js 15.x: Actualizar a 15.2.3
  • Next.js 14.x: Actualizar a 14.2.25
  • Next.js 13.x: Actualizar a 13.5.9
  • Next.js 12.x: Actualizar a 12.3.5
  • Next.js 11.x: Aplicar la solución alternativa indicada a continuación.

https://nextjs.org/docs/app/building-your-application/upgrading/version-14

Información adicional:

Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.