O Framework Open Source Next.js é Afetado por Vulnerabilidade de Segurança Crítica

Pesquisadores revelaram recentemente uma vulnerabilidade de segurança no Next.js, um framework React de código aberto amplamente usado, permitindo que atores maliciosos contornem a autorização no middleware e obtenham acesso aos sistemas. A falha, rotulada como CVE-2025-29927, foi mitigada pela Vercel.

De acordo com o Cyberscoop, Allam Yasser e Allam Rachid, pesquisadores de cibersegurança, identificaram a vulnerabilidade no dia 27 de fevereiro e a reportaram para a Vercel, a empresa de cloud que criou e mantém o Next.js.

A Vercel reconheceu a vulnerabilidade e lançou correções para todas as versões afetadas cerca de duas semanas depois. Na última sexta-feira, a empresa também emitiu um comunicado de segurança.

“Recomendamos que todas as implementações de Next.js auto-hospedadas usando o ‘next start’ e output: ‘standalone’ sejam atualizadas imediatamente”, afirma o comunicado do Next.js.

O documento explica que os aplicativos afetados são aqueles auto-hospedados e atualmente usando Middleware. Aplicações hospedadas na Vercel, Netlify, ou “implantadas como exportações estáticas” não são afetadas pela vulnerabilidade CVE-2025-29927. Aqueles que usam Cloudflare são aconselhados a ativar uma regra de WAF gerenciada.

“Não temos conhecimento de nenhum exploit ativo,” disse Ty Sbano, Diretor de Segurança da Informação (CISO) na Vercel, ao Cyberscoop. “Se alguém hospeda um aplicativo Next.js fora da Vercel, não teríamos visibilidade em tempo de execução ou em suas análises. Plataformas como a Vercel e a Netlify não foram afetadas.”

A empresa de nuvem não possui dados precisos sobre quantos aplicativos que usam o Next.js estão ativos em plataformas auto-hospedadas.

Rachid compartilhou um artigo neste blog, Next.js e o middleware corrompido: o artefato autorizador, com mais detalhes sobre sua pesquisa para revelar a falha que afeta milhões de usuários.

“Uma vulnerabilidade crítica pode ocorrer em qualquer software, mas quando afeta uma das estruturas mais populares, torna-se particularmente perigosa e pode ter graves consequências para o ecossistema mais amplo”, escreveu Rachid.

A especialista também abordou o tempo de resposta da empresa para mitigar o risco. “A vulnerabilidade levou alguns dias para ser tratada pela equipe da Vercel, mas deve-se notar que, uma vez que tomaram conhecimento dela, um conserto foi comprometido, mesclado e implementado em um novo lançamento em algumas horas (incluindo retrocompatibilidades).”

Alguns dias atrás, especialistas em cibersegurança da Pillar Security recentemente descobriram uma vulnerabilidade em dois populares assistentes de codificação, GitHub Copilot e Cursor.