Plataforma
nodejs
Componente
next
Corrigido em
15.3.1
15.3.3
Uma vulnerabilidade de cache poisoning foi identificada no Next.js App Router, afetando versões a partir da 15.3.0 até a 15.3.2. Sob condições específicas envolvendo middleware e redirects, payloads RSC (React Server Components) podem ser incorretamente armazenados em cache e servidos no lugar do HTML esperado, comprometendo a integridade do conteúdo exibido. A atualização imediata para a versão 15.3.3 e a reimplantação são necessárias para mitigar este risco.
A principal consequência desta vulnerabilidade é a exibição incorreta de conteúdo para os usuários. Um atacante poderia manipular o cache, injetando payloads RSC maliciosos que seriam servidos em vez do HTML legítimo. Isso pode levar a diversas situações, como a exibição de informações falsas, redirecionamentos para sites maliciosos ou até mesmo a execução de código JavaScript não intencional no navegador do usuário. O impacto é limitado à exibição de conteúdo, sem acesso direto a dados sensíveis ou sistemas internos, mas pode prejudicar a reputação e a confiança dos usuários na aplicação.
A vulnerabilidade CVE-2025-49005 foi publicada em 03 de julho de 2025. A pontuação CVSS é baixa (3.7), indicando uma probabilidade de exploração relativamente baixa. Não há relatos públicos de exploração ativa ou campanhas direcionadas conhecidas até o momento. A vercel.com/changelog/cve-2025-49005 fornece informações adicionais sobre a vulnerabilidade e a correção.
Organizations using Next.js App Router versions 15.3.0 through 15.3.2 are at risk. This includes developers building server-rendered React applications and those relying on Next.js's caching mechanisms for performance optimization. Applications with complex middleware configurations or extensive use of redirects are particularly vulnerable.
• nodejs / server: Inspect Next.js application logs for unusual caching patterns or errors related to RSC rendering.
grep -i 'rsc' /path/to/nextjs/logs/app.log• nodejs / server: Monitor application performance for unexpected delays or errors that could indicate malicious RSC payloads being served. • generic web: Check response headers for unexpected caching directives or unusual content-types. • generic web: Review application code for any custom middleware or redirect configurations that might be contributing to the vulnerability.
disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para o Next.js versão 15.3.3. Após a atualização, é crucial realizar uma reimplantação da aplicação para garantir que o cache seja limpo e que as novas configurações de caching sejam aplicadas corretamente. Em ambientes onde a atualização imediata não é possível, considere a implementação de regras em um Web Application Firewall (WAF) ou proxy reverso para filtrar payloads RSC suspeitos. Verifique, após a atualização e reimplantação, se o comportamento do cache está correto, inspecionando as respostas HTTP e o conteúdo exibido.
Actualice Next.js a la versión 15.3.3 o superior. Esto corrige la vulnerabilidad de envenenamiento de caché causada por la omisión del encabezado Vary. La actualización asegura que las respuestas HTML y los payloads de React Server Component (RSC) se manejen correctamente en la caché.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de cache poisoning no Next.js App Router que permite payloads RSC serem servidos no lugar de HTML, afetando a exibição de conteúdo.
Se você estiver usando Next.js App Router nas versões 15.3.0 até 15.3.2, você está afetado e precisa atualizar.
Atualize para a versão 15.3.3 do Next.js e realize uma reimplantação da aplicação para limpar o cache.
Até o momento, não há relatos públicos de exploração ativa ou campanhas direcionadas.
Consulte a página de changelog da vercel: vercel.com/changelog/cve-2025-49005
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.