CVE-2025-29927 Vulnerabilidad de OmisiĆ³n de AutorizaciĆ³n en el Middleware de Next.js
ReciĆ©n despuĆ©s de la divulgaciĆ³n de CVE-2025-24813, una vulnerabilidad RCE reciĆ©n descubierta en Apache Tomcatāexplotada activamente solo 30 horas despuĆ©s de su divulgaciĆ³n pĆŗblica y liberaciĆ³n de PoCāha surgido ahora otra amenaza de seguridad crĆtica. Rastreadas como CVE-2025-29927,Ā la nueva vulnerabilidad descubierta ha sido identificada en el framework de React de Next.js, potencialmente dando luz verde a los adversarios para eludir las verificaciones de autorizaciĆ³n bajo condiciones especĆficas.
Con el creciente aumento de las vulnerabilidades en el software ampliamente utilizado y su rĆ”pida explotaciĆ³n en ataques del mundo real, la demanda para la detecciĆ³n proactiva de amenazas nunca ha sido mĆ”s crĆtica. Solo en los dos primeros meses de 2025, NIST ha identificado mĆ”s de 10K+ vulnerabilidades, muchas de las cuales ya estĆ”n planteando desafĆos significativos para los equipos SOC en todo el mundo. A medida que las amenazas cibernĆ©ticas se vuelven mĆ”s sofisticadas, los equipos de seguridad deben enfocarse en estrategias de detecciĆ³n temprana para superar a los atacantes y mitigar los riesgos antes de que escalen. RegĆstrese en la Plataforma SOC Prime para la defensa cibernĆ©tica colectiva y acceda a la fuente global de amenazas activas que proporciona CTI en tiempo real y contenido de detecciĆ³n curado para detectar y mitigar ataques aprovechando los CVE emergentes a tiempo. Explore una vasta biblioteca de reglas Sigma filtradas por la etiqueta Ā«CVEĀ» y respaldadas por un conjunto completo de productos para la detecciĆ³n avanzada de amenazas y caza presionando Explore Detections a continuaciĆ³n.
Todas las reglas son compatibles con mĆŗltiples tecnologĆas SIEM, EDR y Data Lake y estĆ”n mapeadas al marco MITRE ATT&CK para agilizar la investigaciĆ³n de amenazas. AdemĆ”s, cada regla estĆ” enriquecida con metadatos detallados, incluyendo CTI referencias, lĆneas de tiempo de ataques, configuraciones de auditorĆa, recomendaciones de triaje, y mĆ”s.
AnƔlisis de CVE-2025-29927
Recientemente, se divulgĆ³ una vulnerabilidad crĆtica identificada como CVE-2025-29927 en Next.js, un framework web de cĆ³digo abierto. La falla recibiĆ³ una alta puntuaciĆ³n de severidad CVSS de 9.1 sobre 10, permitiendo a los atacantes eludir las verificaciones de autorizaciĆ³n impuestas a travĆ©s del middleware. La vulnerabilidad afecta mĆŗltiples versiones de software de la 11.x a la 15.x, planteando riesgos significativos a la autorizaciĆ³n.
CVE-2025-29927 afecta especĆficamente el middleware de Next.js, que se utiliza ampliamente para el manejo de autorizaciones, reescritura de rutas, redirecciones del lado del servidor y establecimiento de encabezados de respuesta como la PolĆtica de Seguridad de Contenidos (CSP). CVE-2025-29927 surge de un defecto de diseƱo en la manera en que Next.js maneja el encabezado x-middleware-subrequest, originalmente destinado a prevenir los bucles infinitos de middleware. Cuando el middleware procesa una solicitud, runMiddleware verifica este encabezado. Si estĆ” presente con un valor especĆfico, la solicitud elude el middleware y procede a travĆ©s de NextResponse.next().
El proveedor advirtiĆ³ que cualquier sitio web host que dependa Ćŗnicamente del middleware para la autorizaciĆ³n de usuarios, sin controles adicionales, es vulnerable a CVE-2025-29927. Los atacantes pueden explotar esto agregando el encabezado a sus solicitudes, eludiendo efectivamente los controles de seguridad basados en el middleware y accediendo a recursos restringidos, como pĆ”ginas de administrador. MĆ”s especĆficamente, la vulnerabilidad puede conducir a varios exploits, como permitir a los atacantes acceder a rutas protegidas sin la debida autorizaciĆ³n, eludir las PolĆticas de Seguridad de Contenidos y asĆ habilitar ataques XSS, o facilitar el envenenamiento de cachĆ©s al eludir el middleware que establece controles de cachĆ©. Dado el uso generalizado de Next.js, la facilidad de explotaciĆ³n āsimplemente agregando un encabezado HTTPā hace que esta vulnerabilidad sea particularmente preocupante.
Mientras los despliegues alojados por Vercel estĆ”n asegurados automĆ”ticamente, las aplicaciones auto-alojadas necesitan aplicar parches o adoptar medidas de mitigaciĆ³n de CVE-2025-29927. Vercel, la empresa detrĆ”s de Next.js, recomienda actualizar a las versiones de software parcheadas. El problema ha sido resuelto en las versiones 14.2.25 y 15.2.3 de Next.js. Si actualizar no es posible, se recomienda una soluciĆ³n alternativa para las versiones de la 11.1.4 a la 13.5.6. En tales casos, se aconseja bloquear las solicitudes de usuarios externos que contengan el encabezado x-middleware-subrequest para evitar que lleguen a la aplicaciĆ³n Next.js.
Dada la facilidad de explotaciĆ³n y el impacto significativo de la CVE-2025-29927, es un tema de alta prioridad para los usuarios de Next.js. Se aconseja a las organizaciones adoptar una estrategia proactiva de ciberseguridad para protegerse contra amenazas potenciales, especialmente cuando dependen en gran medida del software de cĆ³digo abierto. El conjunto completo de productos de SOC Prime para ingenierĆa de detecciĆ³n impulsada por IA, caza de amenazas automatizada y detecciĆ³n avanzada de amenazas ofrece capacidades a prueba de futuro para mejorar la resiliencia cibernĆ©tica, protegiĆ©ndose contra amenazas cada vez mĆ”s sofisticadas.
