Vulnerabilidad en @opennextjs/cloudflare (CVE-2025-6087)

Se identificó una vulnerabilidad de Server-Side Request Forgery (SSRF) en el paquete @opennextjs/cloudflare. Esta vulnerabilidad se debe a una función no implementada en el adaptador de Cloudflare para Open Next, que permitía a usuarios no autenticados acceder a contenido remoto arbitrario mediante el endpoint /_next/image. Este problema permitía a los atacantes cargar recursos remotos desde hosts arbitrarios bajo el dominio del sitio web víctima para cualquier sitio implementado con el adaptador de Cloudflare para Open Next. Por ejemplo: https://victim-site.com/_next/image?url=https://attacker.com. En este ejemplo, el contenido controlado por el atacante desde attacker.com se distribuye a través del dominio del sitio web víctima (victim-site.com), lo que infringe la política de mismo origen y podría inducir a error a usuarios u otros servicios. Impacto: * SSRF mediante carga remota de URL sin restricciones * Carga remota arbitraria de contenido * Posible exposición interna del servicio o riesgos de phishing por abuso de dominio. Mitigación: Se han implementado las siguientes mitigaciones: * Actualizaciones del servidor en la plataforma de Cloudflare para restringir el contenido cargado a través del endpoint /_next/image a imágenes. La actualización mitiga automáticamente el problema en todos los sitios existentes y futuros implementados en Cloudflare que utilicen la versión afectada del adaptador de Cloudflare para Open Next. * Corrección de la causa raíz (https://github.com/opennextjs/opennextjs-cloudflare/pull/727) en el adaptador de Cloudflare para Open Next. La versión parcheada del adaptador se encuentra aquí @opennextjs/cloudflare@1.3.0 https://www.npmjs.com/package/@opennextjs/cloudflare/v/1.3.0 * Actualización de la dependencia del paquete https://github.com/cloudflare/workers-sdk/pull/9608 para create-cloudflare (c3) para usar la versión corregida del adaptador de Cloudflare para Open Next. La versión parcheada de create-cloudflare se encuentra aquí: create-cloudflare@2.49.3 https://www.npmjs.com/package/create-cloudflare/v/2.49.3 Además de la mitigación automática implementada en la plataforma de Cloudflare, recomendamos a los usuarios afectados que actualicen a @opennext/cloudflare v1.3.0 y utilicen el filtro remotePatterns https://nextjs.org/docs/pages/api-reference/components/image#remotepatterns en la configuración de Next https://nextjs.org/docs/pages/api-reference/components/image#remotepatterns si necesitan incluir en la lista de permitidos URL externas con recursos de imágenes.