Se ha identificado una vulnerabilidad crítica en Next.js, uno de los frameworks de desarrollo web más utilizados para aplicaciones React. Esta falla implica una omisión de autorizaciones (authorization bypass) en ciertas rutas protegidas por autenticación, permitiendo a atacantes omitir las verificaciones de autorización implementadas en el Middleware.
- CVE-2025-29927 (CVSS: 9.1): Esta vulnerabilidad permite a un atacante remoto eludir las comprobaciones de autorización en aplicaciones Next.js que utilizan Middleware para tales fines. Esto se debe a que es posible que solicitudes externas que contengan el encabezado x-middleware-subrequest lleguen a la aplicación Next.js, lo que provoca que el Middleware no se ejecute y, por ende, se omitan las verificaciones de seguridad.
Productos y versiones afectadas:
| Producto | CVE | Versiones Afectadas | Solución |
| Next.js | CVE-2025-29927 | Versiones 12.x. | Actualizar a versión 12.3.5. |
| Versiones 13.x | Actualizar a versión 13.5.9. | ||
| Versiones 14.x | Actualizar a versión 14.2.25. | ||
| Versiones 15.x | Actualizar a versión 15.2.3 |
Recomendaciones:
- Actualizar Next.js a la versión correspondiente que contenga el parche de seguridad para mitigar la vulnerabilidad identificada.
- Implementar controles de seguridad adicionales en el servidor para bloquear solicitudes externas que contengan el encabezado x-middleware-subrequest.
- Revisar y reforzar las políticas de seguridad y autenticación en la aplicación para garantizar que las verificaciones críticas no dependan únicamente del Middleware.
Referencias: