Falha crítica no Next.js permite que hackers contornem autorização

A vulnerabilidade CVE-2025-29927 possibilita que solicitações acessem caminhos protegidos sem passar por verificações de segurança essenciais.

O framework utiliza middleware para autenticação e autorização, executado antes da solicitação alcançar o sistema de roteamento da aplicação. No entanto, se o cabeçalho “x-middleware-subrequest” contiver um valor específico, toda a cadeia de middleware é ignorada, permitindo que invasores enviem requisições manipuladas para contornar os mecanismos de proteção.

A falha afeta todas as versões do Next.js anteriores a 15.2.3, 14.2.25, 13.5.9 e 12.3.5. Como os detalhes técnicos da exploração já são públicos, recomenda-se a atualização imediata para a versão mais recente ou a implementação de bloqueios para requisições externas que incluam o cabeçalho “x-middleware-subrequest”.

Segundo o boletim de segurança do Next.js, a vulnerabilidade afeta versões auto-hospedadas que utilizam “next start” com “output: standalone”, enquanto aplicações hospedadas na Vercel e Netlify ou exportadas como estáticas não são impactadas. Ambientes que dependem de middleware para autorização ou verificações de segurança sem validação posterior na aplicação também estão em risco.