Uma vulnerabilidade crítica foi identificada no Next.js, um dos frameworks React mais populares para desenvolvimento web, que permite que invasores contornem verificações de autorização realizadas pelo middleware em determinadas condições. Essa falha, catalogada como CVE-2025-29927 e com uma pontuação CVSS de 9.1 em 10, representa um risco significativo para aplicações que utilizam o Next.js sem as devidas atualizações. O Next.js utiliza o cabeçalho interno x-middleware-subrequest para evitar que requisições recursivas causem loops infinitos.

No entanto, foi descoberto que invasores podem explorar essa funcionalidade para pular a execução do middleware, permitindo que requisições maliciosas evitem verificações críticas, como a validação de cookies de autenticação, antes de alcançar rotas protegidas. Isso pode resultar no acesso não autorizado a páginas sensíveis, como painéis administrativos ou áreas restritas da aplicação. A falha foi corrigida nas versões 12.3.5, 13.5.9, 14.2.25 e 15.2.3 do Next.js.

Recomenda-se que os desenvolvedores atualizem suas aplicações para essas versões ou superiores o mais rápido possível. O pesquisador de segurança Rachid Allam, conhecido como zhero ou cold-try, foi o responsável por descobrir e relatar essa vulnerabilidade. Ele publicou detalhes técnicos sobre a falha, aumentando a urgência para que as correções sejam aplicadas. Empresas que utilizam middleware para autorizar usuários sem verificações adicionais estão particularmente vulneráveis, podendo permitir que atacantes acessem recursos não autorizados, como páginas administrativas.