CVE-2025-57822

Nome do Software Vulnerável e Versões Afetadas Versões do Next.js anteriores a 14.2.32 e anteriores a 15.4.7

Descrição O Next.js é um framework React para a construção de aplicações web full-stack. Quando a função next() era utilizada sem passar explicitamente o objeto de requisição em aplicações auto-hospedadas, isso poderia levar a Falsificação de Solicitação no Lado do Servidor (SSRF). Isso ocorria quando os cabeçalhos da requisição eram passados diretamente para NextResponse.next(), potencialmente permitindo que cabeçalhos sensíveis da requisição de entrada fossem refletidos de volta na resposta. SSRF é uma vulnerabilidade de segurança web que permite a um atacante fazer solicitações em nome do servidor. A função next() é utilizada dentro do middleware para passar o controle para o próximo middleware ou para o manipulador de rota.

Recomendações Versões do Next.js anteriores a 14.2.32 devem ser atualizadas para a versão 14.2.32 ou posterior. Versões do Next.js anteriores a 15.4.7 devem ser atualizadas para a versão 15.4.7 ou posterior. Verifique o uso correto da função next() na lógica personalizada do middleware.