Vulnerabilidad en Next.js (CVE-2024-46982)

Next.js es un framework React para crear aplicaciones web full-stack. Al enviar una solicitud HTTP manipulada, es posible envenenar el caché de una ruta renderizada del lado del servidor no dinámica en el enrutador de páginas (esto no afecta al enrutador de aplicaciones). Cuando se envía esta solicitud manipulada, podría obligar a Next.js a almacenar en caché una ruta que no debe almacenarse en caché y enviar un encabezado `Cache-Control: s-maxage=1, stale-while-revalidate` que algunas CDN ascendentes también pueden almacenar en caché. Para verse potencialmente afectado, se deben aplicar todas las siguientes condiciones: 1. Next.js entre 13.5.1 y 14.2.9, 2. Usar el enrutador de páginas y 3. Usar rutas renderizadas del lado del servidor no dinámicas, por ejemplo, `pages/dashboard.tsx` no `pages/blog/[slug].tsx`. Esta vulnerabilidad se resolvió en Next.js v13.5.7, v14.2.10 y posteriores. Recomendamos actualizar independientemente de si se puede reproducir el problema o no. No existen workarounds oficiales ni recomendadas para este problema, recomendamos que los usuarios instalen el parche a una versión segura.