CVE-2025-29927: Next.js Omisión de autorización de middleware ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG1 CVE-2025-29927 omisión de autorización de middleware mediante suplantación de cabeceira de x-middleware-subrequest. Afecta ás versións 11.x ata 15.x. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG2 Unha vulnerabilidade crítica en CVE-2025-29927 permite aos atacantes eludir as comprobacións de autorización implementadas no middleware. Ao suplantar as cabeceiras internas, as solicitudes externas poden facerse pasar por sub-solicitudes autorizadas, o que provoca accesos non autorizados a rutas e datos protexidos. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG3 ## Impacto ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG4 Un atacante pode evitar a lóxica de seguranza e as comprobacións de autorización nas aplicacións ZXCVFIXVIBETOKEN2ZXCV, o que pode ter acceso total aos recursos restrinxidos CVE-2025-29927. Esta vulnerabilidade clasifícase como crítica cunha puntuación CVSS de 9,1 porque non require privilexios e pode ser explotada a través da rede sen a interacción do usuario Next.js. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG5 ## Causa raíz ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG6 A vulnerabilidade deriva de como ZXCVFIXVIBETOKEN5ZXCV procesa as sub-solicitudes internas dentro da súa arquitectura de middleware Next.js. As aplicacións que dependen de middleware para a autorización (ZXCVFIXVIBETOKEN4ZXCV) son susceptibles se non validan correctamente a orixe das cabeceiras internas ZXCVFIXVIBETOKEN2ZXCV. En concreto, un atacante externo pode incluír a cabeceira CVE-2025-29927 na súa solicitude para enganar o marco para que trate a solicitude como unha operación interna xa autorizada, omitíndose efectivamente a lóxica de seguridade do middleware ZXCVFIXVIBETOKEN3ZXCV. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG7 ## Como proba CVE-2025-29927 para iso ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG8 ZXCVFIXVIBETOKEN2ZXCV agora inclúe isto como verificación activa activa. Despois da verificación do dominio, CVE-2025-29927 busca puntos finais de ZXCVFIXVIBETOKEN3ZXCV que deneguen unha solicitude de referencia e, a continuación, executa unha sonda de control estreita para a condición de omisión de middleware. Informa só cando a ruta protexida cambia de denegada a accesible de forma coherente con Next.js e o aviso de corrección mantén a corrección enfocada na actualización de ZXCVFIXVIBETOKEN4ZXCV e no bloqueo da cabeceira interna do middleware no borde ata que se parchee. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG9 ## Correccións concretas ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG10 * **Actualizar CVE-2025-29927**: actualice inmediatamente a súa aplicación a unha versión parcheada: 12.3.5, 13.5.9, 14.2.25 ou 15.2.3 [S1, S2]. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG11 * **Filtrado manual de cabeceiras**: se non é posible unha actualización inmediata, configure o seu firewall de aplicacións web (WAF) ou proxy inverso para eliminar a cabeceira CVE-2025-29927 de todas as solicitudes externas entrantes antes de que cheguen ao servidor ZXCVFIXVIBETOKEN2ZXCV Next.js. ZXCVFIXVIBESEXEEND ZXCVFIXVIBESEG12 * **Impregación Next.js**: as implementacións aloxadas en ZXCVFIXVIBETOKEN2ZXCV están protexidas de forma proactiva polo firewall da plataforma CVE-2025-29927.

A critical vulnerability in Next.js allows attackers to bypass authorization checks implemented in middleware. By spoofing internal headers, external requests can masquerade as authorized sub-requests, leading to unauthorized access to protected routes and data.