Uma vulnerabilidade crítica na estrutura de desenvolvimento da Web Next.JS pode permitir que os hackers ignorem as verificações de autorização. Rastreado como CVE-2025-29927a falha permite que os invasores enviem solicitações diretamente para os caminhos de destino, pulando protocolos cruciais de segurança.
Next.js, uma estrutura de reação amplamente usada com mais de 9 milhões de semanais Downloads de NPMé preferido pelos desenvolvedores para a construção de aplicativos da Web de pilha completa. Empresas como Tiktok, Twitch, Hulu, Netflix, Uber e Nike usam a estrutura para seus sites e aplicativos.
Os componentes do middleware em Next.js lidam com tarefas como autenticação, autorização, log e redirecionando os usuários antes que uma solicitação atinja o sistema de roteamento de aplicativos. Para evitar loops infinitos, o Next.js emprega um cabeçalho ‘X-Middleware-Subrequest’, que determina se as funções do middleware devem ser aplicadas.
A função ‘runmiddleware’ verifica este cabeçalho. Se detectado com um valor específico, ignora toda a execução do middleware, encaminhando a solicitação diretamente para seu destino. Um invasor pode explorar isso enviando manualmente uma solicitação com o valor correto do cabeçalho.
Pesquisadores Allam Rachid e Allam Yasser (inzo_), que identificou o vulnerabilidadeafirmou que “o cabeçalho e seu valor atuam como uma chave universal, permitindo que as regras sejam substituídas”.
A questão da segurança afeta todas as versões Next.js antes de 15.2.3, 14.2.25, 13.5.9 e 12.3.5. Os usuários devem atualizar imediatamente, pois os detalhes técnicos para explorar a vulnerabilidade agora são públicos.
Next.JS Boletim de segurança Especifica Que o CVE-2025-29927 afeta apenas as versões auto-hospedadas usando ‘Next Start’ com ‘Saída: Standalone’. Os aplicativos hospedados no Vercel e no Netlify, ou os destacados como exportações estáticos, não são impactados.
Ambientes em que o middleware é utilizado para verificações de autorização ou segurança sem a validação subsequente no aplicativo está em risco.
Se o patch não for imediatamente viável, o curso de ação sugerido é bloquear quaisquer solicitações externas de usuário que incluam o cabeçalho ‘X-Middleware-Subrequest’.
