CVE-2026-44573

Nome do Software Vulnerável e Versões Afetadas Next.js versões 12.2.0 até 15.5.15 Next.js versões 16.0.0 até 16.2.4

Descrição Aplicações que utilizam o Pages Router com i18n configurado e autorização baseada em middleware ou proxy podem permitir o acesso não autorizado a dados de páginas protegidas. Isso ocorre por meio de requisições sem localidade para o endpoint "/ next/data//.json". Nessas configurações, o middleware não é executado para a rota de dados não prefixada, permitindo que um invasor recupere o JSON de Renderização do Lado do Servidor (SSR) de páginas protegidas, ignorando as verificações de autorização pretendidas.

Recomendações Atualize para a versão 15.5.16. Atualize para a versão 16.2.5. Force a autorização no caminho de dados do lado do servidor da página em vez de confiar exclusivamente no middleware.