Se ha identificado una vulnerabilidad de severidad crítica en Next.js, un marco de JavaScript ampliamente utilizado para el desarrollo de aplicaciones web. Esta vulnerabilidad podría permitir la elusión de controles de seguridad a través de un encabezado HTTP malicioso.
Productos afectados:
- Versiones anteriores a la 15.2.3
- Versiones anteriores a 14.2.25
- Versiones 11.1.4 a 13.5.6 (mitigaciones disponibles)
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2025-29927: Puntuación CVSS de 9.1. Esta vulnerabilidad podría permitir a un actor malicioso omitir los controles de seguridad del middleware Next.js a través de un encabezado HTTP «x-middleware-subrequest» especialmente diseñado comprometiendo así la seguridad de los datos y la integridad de la aplicación.
Recomendación
Se recomienda que los productos vulnerables se actualicen de acuerdo con las instrucciones del boletín de seguridad en la sección Referencias.
Referencias
- https://github.com/advisories/GHSA-f82v-jwr5-mffw
- Vulnerabilidad encontrada en Next.js – ACN