Se han descubierto vulnerabilidades de severidad alta en productos Next.js. Un actor malicioso podría eludir mecanismos de autenticación, realizar ataques de falsificación de solicitud del lado del servidor o acceder a información protegida en los sistemas afectados.
Productos afectados
Next.js:
- Versiones 16.x anteriores a la 16.2.6.
- Versiones desde la 12.2.0 hasta la 15.5.16.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-44578: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitud del lado del servidor en aplicaciones que utilizan actualizaciones de WebSocket. Un actor malicioso remoto podría inducir al servidor a actuar como un proxy para realizar peticiones hacia destinos internos o externos arbitrarios, facilitando la exposición de servicios internos o metadatos de servicios en la nube.
CVE-2026-44574: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de middleware mediante la inyección de parámetros de ruta dinámica. Un actor malicioso remoto y autenticado con bajos privilegios podría enviar parámetros de consulta diseñados para alterar los valores de ruta vistos por la aplicación, permitiendo el acceso a contenido protegido sin pasar por las verificaciones de seguridad esperadas.
CVE-2026-44573: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de omisión de seguridad en aplicaciones que utilizan Pages Router con i18n configurado. Un actor malicioso remoto podría realizar solicitudes diseñadas para obtener datos JSON de páginas protegidas sin que se ejecute el middleware de autorización correspondiente, comprometiendo la confidencialidad de la información.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Se encuentran disponibles PoC de estas vulnerabilidades.
Referencias