Una vulnerabilidad de seguridad crítica recientemente descubierta en el marco Next.JS, designado CVE-2025-29927, plantea una amenaza significativa para las aplicaciones web al permitir que los actores maliciosos pasen por completo los mecanismos de autorización.
Esta vulnerabilidad surge del manejo inadecuado del encabezado X-Middleware-subrequest dentro de la ejecución de Middleware Next.js, que potencialmente expone áreas administrativas sensibles y recursos protegidos para el acceso no autorizado.
La vulnerabilidad afecta a múltiples versiones del popular marco web basado en React, con diferentes técnicas de explotación que dependen de la versión específica en uso.
Control de llave
1. CVE-2025-29927 Explotan X-Middleware-subrequest para evitar la autorización Next.js.
2. Los atacantes establecen el encabezado en los nombres de middleware para omitir las verificaciones.
3. Otorga acceso no autorizado, por lo que implementa la seguridad en capas.
Los investigadores de seguridad han demostrado que los atacantes pueden manipular los encabezados HTTP para eludir los controles de autenticación y autorización, obteniendo acceso a áreas restringidas sin las credenciales adecuadas.
Next.js marco vulnerabilidad
Nullsecurityx informa que El núcleo de esta vulnerabilidad se encuentra en la lógica de procesamiento de middleware de Next.js, específicamente cómo maneja el encabezado X-Middleware-subrequest.
Este encabezado fue diseñado originalmente para evitar infinitos bucles de middleware mediante la identificación de subrequests internas. Sin embargo, la implementación defectuosa permite que las solicitudes externas abusen de este mecanismo.
El patrón de código vulnerable sigue esta estructura:
Cuando un atacante incluye el valor apropiado de encabezado X-Middleware-subrequest en su solicitud HTTP, el middleware lo identifica incorrectamente como una subrequest interna y omite las verificaciones de autorización por completo. La explotación varía en las versiones Next.js:
Versión 12.2 y anterior: los atacantes usan X-Middleware-subrequest: Pages/_Middleware para evitar el middleware ubicado en el directorio de páginas.
Versión 12.2 y posterior: el valor del encabezado cambia a X-Middleware-subrequest: Middleware para archivos de middleware llamados Middleware.ts.
Versión 13.2.0 y posterior: a pesar de las protecciones de profundidad de recursión, la vulnerabilidad fundamental persiste a través de nombres de middleware repetidos en el encabezado.
Los escenarios de explotación práctica demuestran la gravedad de esta vulnerabilidad. Los atacantes pueden crear solicitudes simples de HTTP para acceder a paneles administrativos protegidos.
Esta solicitud pasa por alto la protección del middleware y otorga acceso no autorizado a la funcionalidad de administración.
La vulnerabilidad se vuelve particularmente peligrosa cuando se combina con JSON Web Token (JWT) o sistemas de autenticación basados en cookies, donde la manipulación del encabezado permite la elección completa de la validación del token.
Las herramientas de explotación automatizadas pueden probar sistemáticamente múltiples rutas protegidas simultáneamente.
Factores de riesgo DetailsAwnsAphed ProductsNext.js Versiones ≤ 12.2 (páginas/_middleware) Versiones NEXT.JS ≥ 12.2 y <13.2.0 (middleware.ts) Next.js Versiones ≥ 13.2.0ImpactComplete Autorización de autorización a través de Middleware SkipExPloit Prequisitionability para elaborar a las solicitudes de HTTP personalizadas con HTTP Coster. 3.1 puntaje9.8 (crítico)
Los investigadores de seguridad han desarrollado scripts de prueba de concepto que iteran a través de puntos finales administrativos comunes ( /admin, /tablero, /configuración) mientras inyectan el encabezado malicioso, identificando rápidamente los puntos de acceso vulnerables en aplicaciones completas.
El impacto de la vulnerabilidad se extiende más allá de la simple autorización de la autorización. En las aplicaciones que dependen únicamente de Next.js Middleware para controles de seguridad, los atacantes pueden acceder potencialmente a los datos del usuario confidenciales, modificar las configuraciones de aplicaciones o ejecutar funciones administrativas sin la autenticación adecuada.
Las organizaciones que ejecutan las aplicaciones Next.JS deben evaluar inmediatamente sus implementaciones de middleware y aplicar parches de seguridad disponibles.
Este descubrimiento destaca la importancia crítica de las estrategias de seguridad de defensa en profundidad, donde existen controles de autorización en múltiples capas de aplicación en lugar de depender únicamente de los mecanismos de protección basados en el middleware.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
