Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

Vulnerabilidad Crítica de Next.js

Se ha detectado una falla de seguridad crítica, CVE-2025-29927, con una puntuación CVSS de 9,1, que afecta al framework de React Next.js. Está vulnerabilidad permite a los atacantes eludir las comprobaciones de autorización del middleware y acceder a partes de una aplicación web que deberían permanecer restringidas.

¿Cuál es la amenaza?

La CVE-2025-29927 se debe al uso indebido del encabezado interno <x-middelware-subrequest>. Los atacantes pueden explotar este encabezado para evitar bucles de solicitud infinitos y así eludir el middelware responsable de las comprobaciones de seguridad, como la autenticación y la validación del acceso de usuarios. Al omitir estas comprobaciones, los atacantes pueden obtener acceso no autorizado a áreas protegidas de un sitio web.

¿Por qué es digno de mención?

Esta vulnerabilidad es fácil de explotar. El middelware desempeña un papel clave en la seguridad de las aplicaciones web al controlar el acceso a áreas sensibles, especialmente aquellas desarrolladas con Next.js.

Tras una explotación exitosa, los atacantes pueden acceder a las secciones de administración o privilegiadas de un sitio, lo que representa un riesgo de seguridad significativo.

¿Cuál es el riesgo?

Si un sitio web utiliza middelware para verificar el estado de administrador o usuario conectado, al explotar esta vulnerabilidad, los atacantes omiten la verificación para acceder a áreas exclusivas para administradores o a datos privados de usuarios. Cualquier sitio web que utilice middelware sin medidas de seguridad adicionales es vulnerables a posibles ataques.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

  • Actualice Next.js a la última versión, incluidas las 12.3.5, 13.5.9, 14.2.25 o 15.2.3.
  • Bloquee las solicitudes externas, incluido el encabezado x-middleware-subrequest, si no es posible una actualización inmediata.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.