CVE-2026-44574

Nome do Software Vulnerável e Versões Afetadas Next.js (versões afetadas não especificadas)

Descrição Existe uma falha de bypass de autorização em aplicações que utilizam middleware para proteger rotas dinâmicas. Atacantes podem usar parâmetros de consulta especialmente criados para alterar o valor da rota dinâmica percebido pela página, mantendo o caminho visível inalterado. Isso permite que conteúdo protegido seja renderizado, ignorando a verificação do middleware, que é o mecanismo que a maioria das aplicações Next.js utiliza para verificar a autenticação do usuário.

Recomendações Force a autorização na lógica da rota ou da página em vez de confiar exclusivamente na correspondência de caminho do middleware. Como medida paliativa temporária, restrinja o uso de parâmetros de rota dinâmica que dependam apenas do middleware para proteção até que o software seja atualizado.