Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Next.js (CVE-2025-49826)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/07/2025
Última modificación:
03/07/2025

Descripción

Next.js es un framework React para crear aplicaciones web full-stack. Desde la versión 15.0.4-canary.51 hasta la versión anterior a la 15.1.8, se detectó un error de envenenamiento de caché que provocaba una condición de denegación de servicio (DoS) en Next.js. Este problema no afecta a los clientes alojados en Vercel. En ciertas circunstancias, este problema puede permitir que se almacene en caché una respuesta HTTP 204 para páginas estáticas, lo que hace que la respuesta 204 se muestre a todos los usuarios que intentan acceder a la página. Este problema se ha solucionado en la versión 15.1.8.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información