Impacto
Um invasor pode ignorar a lógica de segurança e as verificações de autorização em aplicativos Next.js, obtendo potencialmente acesso total aos recursos restritos [S1]. Esta vulnerabilidade é classificada como crítica com uma pontuação CVSS de 9,1 porque não requer privilégios e pode ser explorada na rede sem interação do usuário [S2].
Causa Raiz
A vulnerabilidade decorre de como Next.js processa subsolicitações internas em sua arquitetura de middleware [S1]. Os aplicativos que dependem de middleware para autorização (CWE-863) são suscetíveis se não validarem adequadamente a origem dos cabeçalhos internos [S2]. Especificamente, um invasor externo pode incluir o cabeçalho x-middleware-subrequest em sua solicitação para enganar a estrutura e fazê-la tratar a solicitação como uma operação interna já autorizada, ignorando efetivamente a lógica de segurança do middleware [S1].
Como FixVibe testa isso
FixVibe agora inclui isso como uma verificação ativa bloqueada. Após a verificação do domínio, active.nextjs.middleware-bypass-cve-2025-29927 procura terminais Next.js que negam uma solicitação de linha de base e, em seguida, executa uma investigação de controle restrita para a condição de desvio de middleware. Ele relata apenas quando a rota protegida muda de negada para acessível de maneira consistente com CVE-2025-29927, e o prompt de correção mantém a correção focada na atualização de Next.js e no bloqueio do cabeçalho de middleware interno na borda até ser corrigido.
Correções de concreto
- Atualize Next.js: atualize imediatamente seu aplicativo para uma versão corrigida: 12.3.5, 13.5.9, 14.2.25 ou 15.2.3 [S1, S2].
- Filtragem manual de cabeçalho: Se uma atualização imediata não for possível, configure seu Web Application Firewall (WAF) ou proxy reverso para remover o cabeçalho
x-middleware-subrequestde todas as solicitações externas recebidas antes que elas cheguem ao servidor Next.js [S1]. - Implantação Vercel: as implantações hospedadas em Vercel são protegidas proativamente pelo firewall da plataforma [S2].