CVE-2026-44574: Authorization Bypass in Next.js
Plataforma
nodejs
Componente
nextjs
Corregido en
15.5.16
La vulnerabilidad CVE-2026-44574 afecta a aplicaciones Next.js que utilizan middleware para proteger rutas dinámicas. Un atacante puede manipular parámetros de consulta para alterar el valor de la ruta dinámica, permitiendo el acceso a contenido protegido sin la autorización esperada. Esta vulnerabilidad afecta a las versiones 15.4.0–>= 16.0.0 y menores a 16.2.5, y se ha solucionado en la versión 15.5.16.
Impacto y Escenarios de Ataque
Esta vulnerabilidad de bypass de autorización permite a un atacante eludir las protecciones implementadas mediante middleware en Next.js. Al manipular los parámetros de consulta en una solicitud, el atacante puede modificar el valor de la ruta dinámica que se muestra al usuario, mientras que el middleware continúa procesando una ruta diferente, potencialmente sin las restricciones de autorización adecuadas. Esto podría resultar en el acceso no autorizado a datos sensibles, la modificación de información o la ejecución de acciones no autorizadas. El impacto es particularmente grave en aplicaciones que dependen del middleware para controlar el acceso a funcionalidades críticas o información confidencial.
Contexto de Explotación
La vulnerabilidad fue publicada el 13 de mayo de 2026. No se han reportado campañas de explotación activas conocidas públicamente al momento de la publicación. La probabilidad de explotación se considera media debido a la naturaleza de bypass de autorización y la posibilidad de que atacantes busquen explotar esta vulnerabilidad en entornos no parcheados. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La solución principal es actualizar a la versión 15.5.16 de Next.js o superior. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente la implementación del middleware para identificar posibles puntos débiles. Implementar una validación estricta de los parámetros de consulta en el middleware puede ayudar a mitigar el riesgo, aunque no es una solución completa. Considerar el uso de una WAF (Web Application Firewall) para detectar y bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Después de la actualización, confirmar que el middleware funciona correctamente y que las rutas dinámicas están protegidas según lo esperado, realizando pruebas exhaustivas de autorización.
Cómo corregirlotraduciendo…
Actualice Next.js a la versión 15.5.16 o superior, o a la versión 16.2.5 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización en middleware que permite el acceso a contenido protegido sin la validación esperada.
Preguntas frecuentes
What is CVE-2026-44574 — Authorization Bypass in Next.js?
CVE-2026-44574 es una vulnerabilidad de bypass de autorización en Next.js que permite a los atacantes acceder a contenido protegido sin la autorización adecuada mediante la manipulación de parámetros de consulta.
Am I affected by CVE-2026-44574 in Next.js?
Si está utilizando Next.js en las versiones 15.4.0–>= 16.0.0 y menores a 16.2.5 y utiliza middleware para proteger rutas dinámicas, es probable que esté afectado.
How do I fix CVE-2026-44574 in Next.js?
La solución es actualizar a la versión 15.5.16 de Next.js o superior. Si no puede actualizar inmediatamente, revise y fortalezca la validación de parámetros de consulta en su middleware.
Is CVE-2026-44574 being actively exploited?
No se han reportado campañas de explotación activas conocidas públicamente, pero la probabilidad de explotación se considera media.
Where can I find the official Next.js advisory for CVE-2026-44574?
Consulte el sitio web oficial de Next.js o el repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones de seguridad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...