CVE-2025-29927

ALT (9,1)

CVSS3: 0,0

Next.js és un marc de React per crear aplicacions web de monticle complet. A les versions anteriors a les 14.2.25 i 15.2.3, és possible ometre les comprovacions d’autorització dins d’una aplicació Next.js, si la comprovació d’autorització es produeix al middleware. Si l’aplicació de pedaços a una versió segura no és factible, us recomanem que eviteu que les sol·licituds d’usuari extern que continguin la capçalera x-middleware-subrequest arribin a la vostra aplicació Next.js. Aquesta vulnerabilitat s’ha solucionat a 14.2.25 i 15.2.3.

Sistemes Afectats

• vercel next.js – >= 11.1.4, <= 1 3.5.6 – > 14.0.0, < 14.2.25 – > 15.0.0, < 15.2.3

Remediació
No hi ha cap recurs disponible a partir del 21 de març del 2025.

Referències

• https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw
• https://github.com/rmosolgo/graphql-ruby/commit/5c5a7b9a9bdce143be048074aea50edb7