CVE-2026-29057

Next.js es un framework de React para construir aplicaciones web full-stack. A partir de la versión 9.5.0 y antes de las versiones 15.5.13 y 16.1.7, cuando Next.js reescribe el tráfico de proxy a un backend externo, una solicitud 'DELETE'/'OPTIONS' manipulada utilizando 'Transfer-Encoding: chunked' podría desencadenar un desacuerdo en el límite de la solicitud entre el proxy y el backend. Esto podría permitir el contrabando de solicitudes a través de rutas reescritas. Un atacante podría contrabandear una segunda solicitud a rutas de backend no intencionadas (por ejemplo, endpoints internos/de administración), eludiendo las suposiciones de que solo el destino/ruta de reescritura configurado es accesible. Esto no tiene impacto en las aplicaciones alojadas en proveedores que manejan las reescrituras a nivel de CDN, como Vercel. La vulnerabilidad se originó en una biblioteca upstream distribuida por Next.js. Se solucionó en Next.js 15.5.13 y 16.1.7 actualizando el comportamiento de esa dependencia para que 'content-length: 0' se añada solo cuando tanto 'content-length' como 'transfer-encoding' estén ausentes, y 'transfer-encoding' ya no se elimine en esa ruta de código. Si la actualización no es posible de inmediato, bloquee las solicitudes 'DELETE'/'OPTIONS' chunked en las rutas reescritas en el borde/proxy, y/o aplique autenticación/autorización en las rutas de backend.