保護DataHogo
Enciclopedia de Seguridad/React y Next.js
criticalCWE-863A01:2021

Bypass de Middleware en Next.js (CVE-2025-29927)

Una vulnerabilidad crítica en Next.js anteriores a la 15.2.3 permite a atacantes saltarse completamente los checks de autenticación en middleware enviando un header interno especial.

Cómo Funciona

Next.js usa el header interno `x-middleware-subrequest` para rastrear la profundidad de invocación del middleware y evitar loops infinitos. Los atacantes descubrieron que podían enviar este header desde afuera para que el framework se saltara la ejecución del middleware, bypasseando cualquier guard de auth en middleware.ts.

Código Vulnerable
// MAL: Next.js < 15.2.3 — el atacante envía:
// x-middleware-subrequest: middleware:middleware:middleware
// y este middleware se salta completamente
export function middleware(req: NextRequest) {
  const token = req.cookies.get('session');
  if (!token) return NextResponse.redirect('/login');
}
Código Seguro
// BIEN: actualiza Next.js a >= 15.2.3
// Además: nunca confíes solo en middleware para auth.
// Siempre verifica la sesión en la ruta o página.
export async function GET() {
  const supabase = createClient();
  const { data: { user } } = await supabase.auth.getUser();
  if (!user) return Response.json({ error: 'No autorizado' }, { status: 401 });
}

Ejemplo Real

CVE-2025-29927 — divulgado públicamente en marzo 2025. Afectó todas las versiones de Next.js que usan middleware para auth. Cualquier app donde el middleware era la única capa de auth quedó completamente expuesta. CVSS: 9.1 (Crítico).

Cómo Prevenirlo

  • Actualiza Next.js a 15.2.3 o superior de inmediato
  • Nunca uses middleware como tu única capa de auth — agrega verificación de sesión server-side en páginas y API routes
  • Bloquea el header x-middleware-subrequest en tu CDN o proxy como mitigación temporal
  • Usa Data Hogo para detectar versiones vulnerables de Next.js en tu repo

Tecnologías Afectadas

Next.js

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

dangerouslySetInnerHTML Sin Sanitización

high

Usar dangerouslySetInnerHTML de React con input de usuario sin sanitizar permite a atacantes inyectar scripts maliciosos que se ejecutan en los navegadores de otros usuarios.

CWE-79A03:2021

Tokens de Autenticación en localStorage

high

Guardar JWT tokens, tokens de sesión o API keys en localStorage los hace accesibles a cualquier JavaScript corriendo en la página, incluyendo payloads XSS.

CWE-922A07:2021

Exposición de Secretos en __NEXT_DATA__

high

Los props de página de Next.js pasados por getServerSideProps o getStaticProps filtran datos sensibles como API keys, URLs de base de datos o configuración interna a través del script tag __NEXT_DATA__.

CWE-200A01:2021

Source Maps Expuestos en Producción

medium

Los archivos source map de JavaScript (.map) son públicamente accesibles en producción, revelando el código fuente original completo incluyendo comentarios, nombres de variables y lógica interna.

CWE-540A05:2021