CVE-2025-29927 Vulnerabilidade no Bypass de Autorização do Next.js Middleware
Logo após a divulgação do CVE-2025-24813, uma nova vulnerabilidade de RCE descoberta no Apache Tomcat—explorada ativamente apenas 30 horas após sua divulgação pública e lançamento do PoC—outra ameaça crítica de segurança agora emergiu. Rastreada como CVE-2025-29927, a nova vulnerabilidade descoberta foi identificada no framework React Next.js, potencialmente dando aos adversários luz verde para contornar verificações de autorização sob condições específicas.
Com o crescente aumento de vulnerabilidades em software amplamente utilizado e sua rápida exploração em ataques no mundo real, a demanda por detecção proativa de ameaças nunca foi tão crítica. Apenas nos primeiros dois meses de 2025, o NIST identificou mais de 10K+ vulnerabilidades, muitas das quais já estão representando desafios significativos para equipes de SOC em todo o mundo. À medida que as ameaças cibernéticas se tornam mais sofisticadas, as equipes de segurança devem focar em estratégias de detecção precoce para superar os atacantes e mitigar riscos antes que eles escalem. Registre-se na Plataforma SOC Prime para defesa cibernética coletiva para acessar o feed de ameaças ativas globais servindo CTI em tempo real e conteúdo de detecção curado para identificar e mitigar ataques explorando emergentes CVEs a tempo. Explore uma vasta biblioteca de regras Sigma filtradas pela tag “CVE” e apoiadas por uma suíte completa de produtos para detecção avançada de ameaças e investigação clicando Explore Detecções abaixo.
Todas as regras são compatíveis com várias tecnologias de SIEM, EDR e Data Lake e mapeadas para o MITRE ATT&CK framework para agilizar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados detalhados, incluindo CTI referências, cronogramas de ataques, configurações de auditoria, recomendações de triagem, e mais.
Análise do CVE-2025-29927
Recentemente, uma vulnerabilidade crítica identificada como CVE-2025-29927 foi divulgada no Next.js, um framework web de código aberto. A falha recebeu uma pontuação alta de severidade CVSS de 9.1 em 10, permitindo que atacantes contornem verificações de autorização aplicadas por meio de middleware. A vulnerabilidade afeta múltiplas versões de software de 11.x a 15.x, representando riscos significativos para autorização.
O CVE-2025-29927 impacta especificamente o middleware do Next.js, que é amplamente usado para manipulação de autorização, reescrita de caminhos, redirecionamentos do lado do servidor e definição de cabeçalhos de resposta como Content Security Policy (CSP). O CVE-2025-29927 surge de uma falha de design em como o Next.js lida com o cabeçalho x-middleware-subrequest, originalmente destinado a evitar loops infinitos de middleware. Quando o middleware processa um pedido, o runMiddleware verifica este cabeçalho. Se presente com um valor específico, o pedido contorna o middleware e prossegue via NextResponse.next().
O fornecedor advertiu que qualquer site host que dependa exclusivamente do middleware para autorização de usuário, sem verificações adicionais, é vulnerável ao CVE-2025-29927. Os atacantes podem explorar isso adicionando o cabeçalho aos seus pedidos, efetivamente contornando os controles de segurança baseados em middleware e acessando recursos restritos, como páginas de administração. Mais especificamente, a vulnerabilidade pode levar a várias explorações, como permitir que atacantes acessem rotas protegidas sem a devida autorização, contornem Políticas de Segurança de Conteúdo e, assim, habilitem ataques de XSS, ou facilitem caches corruptos ao contornarem middleware que define controles de cache. Dado o uso generalizado do Next.js, a facilidade de exploração—simplesmente adicionando um cabeçalho HTTP—torna essa vulnerabilidade particularmente preocupante.
Enquanto as implantações hospedadas pela Vercel são automaticamente protegidas, aplicações autogeridas precisam aplicar patches ou adotar medidas de mitigação para o CVE-2025-29927. A Vercel, a empresa por trás do Next.js, recomenda atualizar para as versões de software corrigidas. O problema foi resolvido nas versões do Next.js 14.2.25 e 15.2.3. Se a atualização não for possível, uma solução alternativa é recomendada para as versões 11.1.4 até 13.5.6. Nesses casos, é aconselhável bloquear pedidos de usuários externos contendo o cabeçalho x-middleware-subrequest de chegarem à aplicação Next.js.
Dada a facilidade de exploração e o impacto significativo do CVE-2025-29927, é uma questão de alta prioridade para os usuários do Next.js. As organizações são aconselhadas a adotar uma estratégia proativa de cibersegurança para se proteger contra ameaças potenciais, especialmente quando dependem fortemente de software de código aberto. A suíte completa de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça automática de ameaças e detecção avançada de ameaças oferece capacidades futuras para melhorar a resiliência cibernética, protegendo contra ameaças cada vez mais sofisticadas.
