Vulnerabilidad en Next.js (CVE-2025-30218)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
02/04/2025
Última modificación:
07/04/2025
Descripción
Next.js es un React framework para construir aplicaciones web de pila completa. Para mitigar CVE-2025-29927, Next.js validó el ID X-Middleware-subrequest que persistió en múltiples solicitudes entrantes. Sin embargo, esta ID de subrequest se envía a todas las solicitudes, incluso si el destino no es el mismo host que la aplicación Next.js. Iniciar una solicitud de recuperación a un tercero dentro de Middleware enviará el ID de subrequest de X-Middleware a ese tercero. Esta vulnerabilidad se fija en 12.3.6, 13.5.10, 14.2.26 y 15.2.4.