CVE-2025-29927

Nome do Software Vulnerável e Versões Afetadas Next.js versões 1.11.4 até 12.3.4 Next.js versões 12.3.5 até 13.5.8 Next.js versões 13.5.9 até 14.2.24 Next.js versões 14.2.25 até 15.2.2

Descrição Um problema no processamento do cabeçalho x-middleware-subrequest permite que invasores remotos ignorem verificações de autorização, validação de sessão e limitação de taxa (rate-limiting) se essas medidas de segurança estiverem implementadas no middleware. Ao enviar uma solicitação especialmente formatada contendo o cabeçalho x-middleware-subrequest, um invasor pode enganar a aplicação para que ela trate uma solicitação não autenticada como se já tivesse passado pelas verificações de middleware necessárias. Isso pode levar ao acesso não autorizado a recursos protegidos, como painéis de administração e rotas de API. Além disso, essa falha pode ser usada para ignorar configurações de Content-Security-Policy (CSP) ou facilitar ataques de Negação de Serviço (DoS) via envenenamento de cache. A exploração no mundo real foi observada pelo grupo de ameaças TeamPCP, que utilizou esta falha em sua campanha PCPcat para atingir infraestruturas de nuvem nos setores de comércio eletrônico e finanças.

Recomendações Atualize o Next.js para a versão 12.3.5. Atualize o Next.js para a versão 13.5.9. Atualize o Next.js para a versão 14.2.25. Atualize o Next.js para a versão 15.2.3. Como solução temporária, impeça que solicitações de usuários externos que contenham o cabeçalho x-middleware-subrequest cheguem à aplicação.