Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha identificado una vulnerabilidad crítica, CVE-2025-29927, con una puntuación CVSS de 9.1, en Next.js que permite a los atacantes eludir los mecanismos de autenticación implementados en el middleware. Esta vulnerabilidad afecta a aplicaciones que usan redirecciones o reescrituras dentro de esta capa, exponiendo a riesgos de accesos no autorizados, evasión de políticas de seguridad (CSP) y envenenamiento de caché.
Recursos afectados
- Next.js 15.x (< 15.2.3)
- Next.js 14.x (< 14.2.25)
- Next.js 13.x (< 13.5.9)
Solución
Se recomienda actualizar a las siguientes versiones para mitigar el riesgo:
- Next.js 15.x: actualizar a 15.2.3 o superior.
- Next.js 14.x: actualizar a 14.2.25 o superior.
- Next.js 13.x: actualizar a 13.5.9 o superior.
Para versiones entre 11.1.4 y 13.5.6, se recomienda la mitigación temporal.
Mitigación Temporal
Si no es posible actualizar inmediatamente:
- Bloquear o modificar el header "X-Middleware-Subrequest" en tu firewall (WAF/CDN).
Recomendaciones
- Aplicar las actualizaciones de seguridad mencionadas lo antes posible.
- Monitorear logs en busca de intentos de explotación (patrones como nowaf o repeticiones de middleware).
- Revisar la configuración de redirecciones y reescrituras en el middleware.
Referencias
Authorization Bypass in Next.js Middleware