CVE-2025-48068

Nome do Software Vulnerável e Versões Afetadas Versões do Next.js 13.0.0 até 13.3.x Versões do Next.js 13.4 e anteriores com experimental.appDir = true Versões do Next.js anteriores a 15.2.2

Descrição Este problema é semelhante a uma vulnerabilidade conhecida anteriormente. Ao executar um servidor Next.js localmente, o servidor WebSocket está suscetível a ataques de sequestro de WebSocket entre sites (CSWSH). Se um usuário visitar um link malicioso enquanto o servidor de desenvolvimento do Next.js estiver em execução, um atacante pode acessar o código-fonte dos componentes do cliente. Isso afeta aplicativos que usam o App Router, que era experimental nas versões 13.0.0 a 13.3.x. A vulnerabilidade permite que um atacante espione a atividade de desenvolvimento e roube código-fonte.

Recomendações Para as versões do Next.js 13.0.0 até 13.3.x, atualize para a versão 15.2.2 ou posterior para corrigir o problema. Para as versões do Next.js 13.4 e anteriores com experimental.appDir = true, atualize para a versão 15.2.2 ou posterior para corrigir o problema. Para as versões do Next.js anteriores a 15.2.2, atualize para a versão 15.2.2 ou posterior para corrigir o problema. Como solução alternativa temporária, considere desativar o servidor next dev quando não estiver em uso para minimizar o risco de exploração.