Antonela Arenas

El popularwork de desarrollo web Next.js ha sido afectado por una vulnerabilidad de gravedad crítica, catalogada como CVE-2025-29927. Este fallo de seguridad permite a los atacantes eludir los controles de autorización y acceder a rutas protegidas sin las verificaciones necesarias.

Una brecha en la seguridad del middleware

Next.js implementa middleware para manejar funciones esenciales como autenticación, autorización, registros y limitaciones de tráfico. Sin embargo, este sistema presenta una debilidad en su encabezado especial ‘x-middleware-subrequest‘, utilizado para evitar bucles infinitos en la ejecución de middleware.

El fallo reside en que si una solicitud incluye este encabezado con un valor específico, el middleware se omite por completo, permitiendo que la petición llegue a su destino sin pasar por los controles de seguridad.

La explotación de la vulnerabilidad

Investigadores de seguridad, Allam Rachid y Allam Yasser (inzo_), descubrieron que un atacante puede manipular manualmente este encabezado, consiguiendo así burlar los mecanismos de protección de Next.js.

De acuerdo con los expertos, este encabezado actúa como una llave maestra universal, permitiendo que las reglas de autorización se ignoren y brindando acceso a rutas protegidas.

Versiones afectadas y soluciones

Se ha confirmado que la vulnerabilidad afecta a todas las versiones de Next.js anteriores a 15.2.3, 14.2.25, 13.5.9 y 12.3.5. Se recomienda actualizar lo antes posible, ya que los detalles del exploit son públicos y podrían ser aprovechados por atacantes.

Es importante señalar que este fallo solo afecta a las implementaciones autohospedadas que utilizan ‘next start’ con ‘output: standalone’**. Aquellos proyectos alojados en Vercel o Netlify, o distribuidos como exportaciones estáticas, no corren peligro.

Un historial de vulnerabilidades en Next.js

No es la primera vez que estework sufre problemas de seguridad:

– 2022: Se identificó una vulnerabilidad que permitía la inyección de comandos, explotando la gestión de variables de entorno y facilitando la ejecución remota de código malicioso.

– 2023: Un fallo crítico en Next.js abrió la puerta a ataques de Server-Side Request Forgery (SSRF), lo que permitía a los atacantes manipular solicitudes internas en servidores de producción.

Estos antecedentes refuerzan la importancia de actualizar los sistemas constantemente y realizar auditorías de seguridad en los entornos de producción.

Medidas de mitigación

Si la actualización no puede aplicarse de inmediato, se recomienda bloquear solicitudes externas que contengan el encabezado ‘x-middleware-subrequest’, evitando así su explotación hasta que se implemente una solución definitiva.

Reflexión: la importancia de la seguridad en el desarrollo

Este caso es un recordatorio claro de que la ciberseguridad debe ser una prioridad en el desarrollo de software. Un fallo aparentemente menor puede derivar en una brecha de seguridad masiva, comprometiendo la integridad de plataformas que millones de personas utilizan a diario.

En un mundo donde la tecnología avanza rápidamente, la seguridad nunca debe darse por sentada.