CVE-2025-29927 Vulnerabilidad de Omisión de Autorización en el Middleware de Next.js
Recién después de la divulgación de CVE-2025-24813, una vulnerabilidad RCE recién descubierta en Apache Tomcat—explotada activamente solo 30 horas después de su divulgación pública y liberación de PoC—ha surgido ahora otra amenaza de seguridad crítica. Rastreadas como CVE-2025-29927, la nueva vulnerabilidad descubierta ha sido identificada en el framework de React de Next.js, potencialmente dando luz verde a los adversarios para eludir las verificaciones de autorización bajo condiciones específicas.
Con el creciente aumento de las vulnerabilidades en el software ampliamente utilizado y su rápida explotación en ataques del mundo real, la demanda para la detección proactiva de amenazas nunca ha sido más crítica. Solo en los dos primeros meses de 2025, NIST ha identificado más de 10K+ vulnerabilidades, muchas de las cuales ya están planteando desafíos significativos para los equipos SOC en todo el mundo. A medida que las amenazas cibernéticas se vuelven más sofisticadas, los equipos de seguridad deben enfocarse en estrategias de detección temprana para superar a los atacantes y mitigar los riesgos antes de que escalen. Regístrese en la Plataforma SOC Prime para la defensa cibernética colectiva y acceda a la fuente global de amenazas activas que proporciona CTI en tiempo real y contenido de detección curado para detectar y mitigar ataques aprovechando los CVE emergentes a tiempo. Explore una vasta biblioteca de reglas Sigma filtradas por la etiqueta «CVE» y respaldadas por un conjunto completo de productos para la detección avanzada de amenazas y caza presionando Explore Detections a continuación.
Todas las reglas son compatibles con múltiples tecnologías SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK para agilizar la investigación de amenazas. Además, cada regla está enriquecida con metadatos detallados, incluyendo CTI referencias, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje, y más.
Análisis de CVE-2025-29927
Recientemente, se divulgó una vulnerabilidad crítica identificada como CVE-2025-29927 en Next.js, un framework web de código abierto. La falla recibió una alta puntuación de severidad CVSS de 9.1 sobre 10, permitiendo a los atacantes eludir las verificaciones de autorización impuestas a través del middleware. La vulnerabilidad afecta múltiples versiones de software de la 11.x a la 15.x, planteando riesgos significativos a la autorización.
CVE-2025-29927 afecta específicamente el middleware de Next.js, que se utiliza ampliamente para el manejo de autorizaciones, reescritura de rutas, redirecciones del lado del servidor y establecimiento de encabezados de respuesta como la Política de Seguridad de Contenidos (CSP). CVE-2025-29927 surge de un defecto de diseño en la manera en que Next.js maneja el encabezado x-middleware-subrequest, originalmente destinado a prevenir los bucles infinitos de middleware. Cuando el middleware procesa una solicitud, runMiddleware verifica este encabezado. Si está presente con un valor específico, la solicitud elude el middleware y procede a través de NextResponse.next().
El proveedor advirtió que cualquier sitio web host que dependa únicamente del middleware para la autorización de usuarios, sin controles adicionales, es vulnerable a CVE-2025-29927. Los atacantes pueden explotar esto agregando el encabezado a sus solicitudes, eludiendo efectivamente los controles de seguridad basados en el middleware y accediendo a recursos restringidos, como páginas de administrador. Más específicamente, la vulnerabilidad puede conducir a varios exploits, como permitir a los atacantes acceder a rutas protegidas sin la debida autorización, eludir las Políticas de Seguridad de Contenidos y así habilitar ataques XSS, o facilitar el envenenamiento de cachés al eludir el middleware que establece controles de caché. Dado el uso generalizado de Next.js, la facilidad de explotación —simplemente agregando un encabezado HTTP— hace que esta vulnerabilidad sea particularmente preocupante.
Mientras los despliegues alojados por Vercel están asegurados automáticamente, las aplicaciones auto-alojadas necesitan aplicar parches o adoptar medidas de mitigación de CVE-2025-29927. Vercel, la empresa detrás de Next.js, recomienda actualizar a las versiones de software parcheadas. El problema ha sido resuelto en las versiones 14.2.25 y 15.2.3 de Next.js. Si actualizar no es posible, se recomienda una solución alternativa para las versiones de la 11.1.4 a la 13.5.6. En tales casos, se aconseja bloquear las solicitudes de usuarios externos que contengan el encabezado x-middleware-subrequest para evitar que lleguen a la aplicación Next.js.
Dada la facilidad de explotación y el impacto significativo de la CVE-2025-29927, es un tema de alta prioridad para los usuarios de Next.js. Se aconseja a las organizaciones adoptar una estrategia proactiva de ciberseguridad para protegerse contra amenazas potenciales, especialmente cuando dependen en gran medida del software de código abierto. El conjunto completo de productos de SOC Prime para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas ofrece capacidades a prueba de futuro para mejorar la resiliencia cibernética, protegiéndose contra amenazas cada vez más sofisticadas.
