Uma falha crítica (CVE-2025-29927) no framework Next.js está colocando em risco a segurança de aplicativos da web, permitindo que invasores contornem verificações de autorização e acessem páginas restritas, como painéis administrativos. A vulnerabilidade, descoberta por pesquisadores de segurança, afeta todas as versões do Next.js e pode ser explorada com uma solicitação maliciosa contendo um cabeçalho específico. Diante da gravidade do problema, a Vercel, empresa responsável pelo Next.js, lançou atualizações para corrigir a falha e recomenda que os usuários realizem a atualização imediatamente.
Leia também
Google abandona uso de SMS em 2FA no Gmail
Treinador hackeou mais de 3.300 atletas
O Next.js é uma estrutura amplamente utilizada para o desenvolvimento de aplicativos web full-stack, sendo adotado por empresas como Twitch, Spotify, Binance e OpenAI. A vulnerabilidade ocorre devido ao processamento inadequado do cabeçalho x-middleware-subrequest, que permite ignorar completamente o middleware de segurança do Next.js. Segundo os pesquisadores Rachid Allam e Yasser Allam, ao incluir esse cabeçalho com o valor correto, o ataque faz com que a solicitação seja processada sem passar pelas regras de autenticação e autorização definidas pelo middleware.
A falha foi reportada à Vercel de forma privada, e os desenvolvedores rapidamente lançaram patches emergenciais em 14 de março de 2025. Versões corrigidas do Next.js foram disponibilizadas nos dias seguintes para todos os ramos afetados: 15.2.3, 14.2.25, 13.5.9 e 12.3.5. O problema afeta especialmente aplicativos auto-hospedados que dependem do middleware para controle de acesso, enquanto aqueles implantados nas plataformas Vercel e Netlify ou exportados estaticamente não são vulneráveis.
Para mitigar a vulnerabilidade, usuários que não puderem atualizar imediatamente devem bloquear solicitações externas que contenham o cabeçalho x-middleware-subrequest. O ProjectDiscovery forneceu recomendações sobre como implementar essa medida, e a Cloudflare já disponibilizou uma regra para impedir tais requisições em seus firewalls de aplicação web (WAF).
A falha ressalta a importância de monitorar constantemente a segurança de frameworks populares e de aplicar correções rapidamente para evitar ataques. Com mais de 300.000 serviços expostos conforme dados do Shodan, a vulnerabilidade representa um grande risco para aplicativos que não forem protegidos a tempo.
