Vulnerabilidad en Next.js es (CVE-2025-49005)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/07/2025
Última modificación:
03/07/2025
Descripción
Next.js es un framework React para crear aplicaciones web full-stack. En Next.js App Router (versión 15.3.0) y versiones anteriores a la 15.3.3, y en Vercel CLI (versión 41.4.1) a la 42.2.0, se detectó una vulnerabilidad de envenenamiento de caché. Este problema permitía que las solicitudes de contenido HTML devolvieran un payload de React Server Component (RSC) en ciertas condiciones. Al implementarse en Vercel, esto solo afectaba a la caché del navegador y no provocaba el envenenamiento de la CDN. Al alojarse en la propia aplicación y desplegarse externamente, esto podía provocar el envenenamiento de caché si la CDN no distingue correctamente entre RSC y HTML en las claves de caché. Este problema se ha resuelto en Next.js 15.3.3.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Referencias a soluciones, herramientas e información
- https://github.com/vercel/next.js/commit/ec202eccf05820b60c6126d6411fe16766ecc066
- https://github.com/vercel/next.js/issues/79346
- https://github.com/vercel/next.js/releases/tag/v15.3.3
- https://github.com/vercel/next.js/security/advisories/GHSA-r2fc-ccr8-96c4
- https://vercel.com/changelog/cve-2025-49005