Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Next.js (CVE-2025-30218)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
02/04/2025
Última modificación:
07/04/2025

Descripción

Next.js es un React framework para construir aplicaciones web de pila completa. Para mitigar CVE-2025-29927, Next.js validó el ID X-Middleware-subrequest que persistió en múltiples solicitudes entrantes. Sin embargo, esta ID de subrequest se envía a todas las solicitudes, incluso si el destino no es el mismo host que la aplicación Next.js. Iniciar una solicitud de recuperación a un tercero dentro de Middleware enviará el ID de subrequest de X-Middleware a ese tercero. Esta vulnerabilidad se fija en 12.3.6, 13.5.10, 14.2.26 y 15.2.4.