Uma vulnerabilidade crítica, identificada como CVE-2025-29927, foi descoberta no framework Next.js, permitindo que invasores contornem verificações de autorização implementadas em middleware e acessem áreas protegidas de aplicações sem permissão adequada.
Detalhes da vulnerabilidade
O Next.js utiliza o cabeçalho interno x-middleware-subrequest para evitar loops infinitos em requisições. No entanto, versões afetadas permitem que esse cabeçalho seja manipulado para pular a execução do middleware, possibilitando que requisições maliciosas evitem verificações cruciais, como validação de cookies de autorização.
Versões afetadas
As versões impactadas incluem:
• 15.x antes da 15.2.3
• 14.x antes da 14.2.25
• 13.x antes da 13.5.9
• 12.x antes da 12.3.5
Aplicações hospedadas em plataformas como Vercel e Netlify, ou aquelas implantadas como exportações estáticas, não são afetadas por essa falha.
Impacto potencial
A exploração dessa vulnerabilidade pode permitir que invasores acessem áreas sensíveis de uma aplicação, como páginas administrativas, sem a devida autorização, comprometendo dados e funcionalidades críticas.
Medidas de mitigação
Para proteger sua aplicação, é recomendável:
1. Atualizar o Next.js: Certifique-se de que sua aplicação esteja utilizando uma das versões corrigidas:
• 12.3.5
• 13.5.9
• 14.2.25
• 15.2.3
2. Implementar verificações adicionais: Caso a atualização imediata não seja possível, implemente verificações adicionais no servidor para validar a presença e o valor do cabeçalho x-middleware-subrequest, garantindo que requisições não autorizadas sejam bloqueadas.
3. Monitorar logs e tráfego: Fique atento a atividades suspeitas nos logs de acesso e monitore o tráfego da rede para identificar possíveis tentativas de exploração da vulnerabilidade.
Conclusão
A descoberta da vulnerabilidade CVE-2025-29927 ressalta a importância de manter frameworks e bibliotecas atualizados e de implementar camadas adicionais de segurança nas aplicações. Desenvolvedores devem agir prontamente para mitigar riscos e proteger dados sensíveis contra acessos não autorizados.
Fontes:
CyberMaxx, The Hacker News, Picus Security, CyberScoop, BleepingComputer