CVE-2026-44574: Authorization Bypass in Next.js
Plataforma
nodejs
Componente
nextjs
Corrigido em
15.5.16
Uma vulnerabilidade de bypass de autorização foi descoberta no Next.js, um framework React para aplicações web full-stack. Essa falha permite que atacantes contornem a proteção de rotas dinâmicas através de parâmetros de consulta manipulados, possibilitando o acesso a conteúdo protegido sem a devida autenticação. A vulnerabilidade afeta versões 15.4.0 até 15.5.15 e 16.0.0 até 16.2.4, sendo corrigida nas versões 15.5.16 e 16.2.5.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse recursos protegidos por middleware sem a necessidade de autenticação ou autorização adequadas. Isso pode levar à exposição de dados confidenciais, modificação de informações sensíveis ou até mesmo a execução de ações não autorizadas dentro da aplicação. O impacto é particularmente grave em aplicações que utilizam middleware para proteger rotas dinâmicas, como painéis de administração, áreas de membros ou APIs protegidas. A manipulação de parâmetros de consulta torna a exploração relativamente simples, exigindo apenas a construção de URLs maliciosas. A ausência de validação adequada dos parâmetros de consulta pelo middleware permite que o atacante altere o valor da rota dinâmica sem alterar a URL visível, disfarçando a tentativa de acesso não autorizado.
Contexto de Exploração
A vulnerabilidade foi publicada em 2026-05-13. Não há informações disponíveis sobre a existência de Exploit Precautionary Scoring System (EPSS) ou se a vulnerabilidade está listada no Key Vulnerability Events (KEV). Atualmente, não há relatos públicos de campanhas de exploração ativa, mas a facilidade de exploração sugere que a vulnerabilidade pode ser alvo de ataques oportunistas. Consulte o National Vulnerability Database (NVD) e o site da CISA para obter atualizações sobre o status da vulnerabilidade e possíveis alertas de segurança.
Inteligência de Ameaças
Status do Exploit
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária é atualizar para a versão corrigida do Next.js (15.5.16 ou 16.2.5). Se a atualização imediata não for possível, implemente validação rigorosa dos parâmetros de consulta no middleware para garantir que os valores sejam os esperados e não permitam manipulação. Considere o uso de uma Web Application Firewall (WAF) com regras para detectar e bloquear solicitações com parâmetros de consulta suspeitos. Além disso, revise o código da aplicação para identificar e corrigir quaisquer outras instâncias de validação inadequada de entrada do usuário. Após a atualização, confirme a correção executando testes de penetração para verificar se a vulnerabilidade foi efetivamente eliminada.
Como corrigirtraduzindo…
Actualice Next.js a la versión 15.5.16 o superior, o a la versión 16.2.5 o superior. Esta actualización corrige una vulnerabilidad de bypass de autorización en middleware que permite el acceso a contenido protegido sin la validación esperada.
Perguntas frequentes
O que é CVE-2026-44574 — Bypass de Autorização no Next.js?
CVE-2026-44574 é uma vulnerabilidade de bypass de autorização no Next.js que permite o acesso não autorizado a rotas dinâmicas protegidas por middleware através da manipulação de parâmetros de consulta.
Estou afetado pelo CVE-2026-44574 no Next.js?
Se você estiver usando Next.js nas versões 15.4.0–>= 16.0.0, < 16.2.5, você está potencialmente afetado. Verifique sua versão e atualize para a versão corrigida.
Como corrigir CVE-2026-44574 no Next.js?
A correção é atualizar para a versão 15.5.16 ou 16.2.5 do Next.js. Implemente validação rigorosa de parâmetros de consulta no middleware como medida temporária.
CVE-2026-44574 está sendo ativamente explorado?
Atualmente, não há relatos públicos de exploração ativa, mas a facilidade de exploração sugere que a vulnerabilidade pode ser alvo de ataques oportunistas.
Onde posso encontrar o advisory oficial do Next.js para CVE-2026-44574?
Consulte o site oficial do Next.js e o National Vulnerability Database (NVD) para obter informações e atualizações sobre a vulnerabilidade.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...