FixVibe
Covered by FixVibecritical

CVE-2025-29927: Next.js Omisión de autorización de middleware

Una vulnerabilidad crítica en Next.js permite a los atacantes eludir las comprobaciones de autorización implementadas en el middleware. Al falsificar los encabezados internos, las solicitudes externas pueden hacerse pasar por subsolicitudes autorizadas, lo que lleva a un acceso no autorizado a rutas y datos protegidos.

CVE-2025-29927GHSA-F82V-JWR5-MFFWCWE-863CWE-285

Impacto

Un atacante puede eludir la lógica de seguridad y las comprobaciones de autorización en aplicaciones Next.js, obteniendo potencialmente acceso completo a recursos restringidos [S1]. Esta vulnerabilidad se clasifica como crítica con una puntuación CVSS de 9,1 porque no requiere privilegios y puede explotarse a través de la red sin interacción del usuario [S2].

Causa raíz

La vulnerabilidad surge de cómo Next.js procesa las subsolicitudes internas dentro de su arquitectura de middleware [S1]. Las aplicaciones que dependen del middleware para la autorización (CWE-863) son susceptibles si no validan adecuadamente el origen de los encabezados internos [S2]. Específicamente, un atacante externo puede incluir el encabezado x-middleware-subrequest en su solicitud para engañar al marco para que trate la solicitud como una operación interna ya autorizada, omitiendo efectivamente la lógica de seguridad del middleware [S1].

Cómo lo prueba FixVibe

FixVibe ahora incluye esto como una verificación activa cerrada. Después de la verificación del dominio, active.nextjs.middleware-bypass-cve-2025-29927 busca puntos finales Next.js que deniegan una solicitud de referencia y luego ejecuta una prueba de control estrecha para la condición de omisión del middleware. Solo informa cuando la ruta protegida cambia de denegada a accesible de una manera consistente con CVE-2025-29927, y el mensaje de reparación mantiene la corrección enfocada en actualizar Next.js y bloquear el encabezado del middleware interno en el borde hasta que se aplique el parche.

Arreglos concretos

  • Actualice Next.js: actualice inmediatamente su aplicación a una versión parcheada: 12.3.5, 13.5.9, 14.2.25 o 15.2.3 [S1, S2].
  • Filtrado de encabezado manual: si no es posible realizar una actualización inmediata, configure su firewall de aplicaciones web (WAF) o proxy inverso para eliminar el encabezado x-middleware-subrequest de todas las solicitudes externas entrantes antes de que lleguen al servidor Next.js [S1].
  • Implementación Vercel: las implementaciones alojadas en Vercel están protegidas proactivamente por el firewall de la plataforma [S2].