Tim Neutkens

**Nome do Software Vulnerável e Versões Afetadas** Next.js versões 15.2.0 até 15.5.17 Next.js versões 16.0.0 até 16.2.5 **Descrição** Existe uma falha onde uma correção de segurança anterior não foi aplicada corretamente ao `middleware.ts` quando utilizado em conjunto com o Turbopack, um empacotador incremental de alta performance para JavaScript e TypeScript. **Recomendações** Atualizar para a versão 15.5.18. Atualizar para a versão 16.2.6.

**Nome do Software Vulnerável e Versões Afetadas** Next.js versões 15.2.0 a 15.5.15 Next.js versões 16.0.0 a 16.2.4 **Descrição** Aplicações App Router que utilizam verificações de autorização baseadas em middleware ou proxy podem permitir acesso não autorizado através de variantes de rota específicas de transporte usadas para pré-busca de segmentos (segment prefetching). URLs `.rsc` e de pré-busca de segmento especialmente criadas podem resolver para a mesma página sem serem correspondidas pela regra de middleware pretendida, permitindo que conteúdos protegidos sejam acessados sem a verificação de autorização esperada. **Recomendações** Atualize para a versão 15.5.16. Atualize para a versão 16.2.5. Aplique a autorização na lógica da rota ou página subjacente em vez de confiar exclusivamente no middleware.

**Nome do Software Vulnerável e Versões Afetadas** Next.js versões anteriores a 15.5.16 Next.js versões anteriores a 16.2.5 **Descrição** Aplicações que utilizam Partial Prerendering através do recurso Cache Components estão suscetíveis à exaustão de conexões. Uma requisição POST manipulada para uma ação de servidor pode desencadear um deadlock no processamento do corpo da requisição. Este estado mantém as conexões abertas por um período prolongado, consumindo descritores de arquivo e a capacidade do servidor, o que pode resultar em negação de serviço para usuários legítimos. **Recomendações** Atualize para a versão 15.5.16. Atualize para a versão 16.2.5. Como medida paliativa temporária, bloqueie na borda (edge) as requisições que contenham o cabeçalho `Next-Resume`.

**Nome do Software Vulnerável e Versões Afetadas** Next.js versões 13.4.13 até 15.5.15 Next.js versões 16.0.0 até 16.2.4 **Descrição** Aplicações self-hosted que utilizam o servidor Node.js integrado estão sujeitas a server-side request forgery (SSRF), uma condição em que um invasor força um servidor a fazer requisições para um local não pretendido. Atacantes remotos não autenticados podem usar requisições HTTP de formulário absoluto manipuladas contendo cabeçalhos `Upgrade: websocket` para forçar o servidor a fazer o proxy de requisições para destinos internos ou externos arbitrários. Isso pode expor serviços internos, painéis de administração, APIs privadas e endpoints de metadados de nuvem (como 169.254.169.254), levando potencialmente ao roubo de credenciais de nuvem, chaves de API e segredos. Estima-se que aproximadamente 79.000 instâncias estejam expostas no Shodan. Implantações hospedadas no Vercel não são afetadas. **Recomendações** Para as versões 13.4.13 até 15.5.15, atualize para a versão 15.5.16. Para as versões 16.0.0 até 16.2.4, atualize para a versão 16.2.5. Como solução temporária, bloqueie as atualizações de WebSocket no proxy reverso ou balanceador de carga, caso não sejam necessárias. Restrinja a saída de origem para redes internas e serviços de metadados sempre que possível. Evite expor o servidor de origem diretamente a redes não confiáveis.