Plataforma
nodejs
Componente
next
Corrigido em
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
A vulnerabilidade CVE-2025-59472 é uma falha de negação de serviço (DoS) identificada no Next.js, especificamente em versões que utilizam Partial Prerendering (PPR) com o modo minimal ativado. Essa falha permite que um atacante cause o travamento do servidor, esgotando os recursos de memória através do envio de requisições POST com dados de estado adiados controlados pelo atacante. As versões afetadas incluem aquelas anteriores à 16.1.5, e uma correção já foi disponibilizada.
A vulnerabilidade CVE-2025-59472 afeta aplicações Next.js que utilizam o Pre-Renderizado Parcial (PPR) quando executadas no modo mínimo. Permite que um atacante cause uma Negação de Serviço (DoS) explorando o endpoint de retomada do PPR. Este endpoint aceita solicitações POST não autenticadas com o cabeçalho Next-Resume: 1 e processa dados de estado adiados controlados pelo atacante. A vulnerabilidade se manifesta em dois problemas relacionados: primeiro, o armazenamento em buffer ilimitado do corpo da solicitação POST, que consome memória excessiva. Segundo, o tratamento ineficiente desses dados, levando ao esgotamento da memória e, finalmente, travando o processo do servidor. A severidade CVSS é de 5.9, indicando um risco moderado. A atualização para a versão 16.1.5 é crucial para mitigar este risco.
Um atacante poderia explorar esta vulnerabilidade enviando solicitações POST maliciosas para o endpoint de retomada do PPR com um corpo de solicitação extremamente grande ou dados de estado adiados projetados para consumir uma quantidade excessiva de memória. Como o endpoint não requer autenticação, qualquer pessoa com acesso à rede pode tentar explorar a vulnerabilidade. O modo mínimo no Next.js, projetado para otimizar o desempenho, se torna o vetor de ataque neste caso. A exploração bem-sucedida leva a uma negação de serviço, impedindo que o servidor processe solicitações legítimas e afetando a disponibilidade da aplicação. A falta de autenticação no endpoint de retomada é o principal facilitador desta exploração.
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
Vetor CVSS
A solução principal para mitigar CVE-2025-59472 é atualizar para a versão 16.1.5 do Next.js ou superior. Esta versão inclui correções para abordar as vulnerabilidades de armazenamento em buffer e processamento de dados. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como limitar o tamanho máximo do corpo da solicitação POST no seu servidor. Além disso, revise e proteja sua configuração de PPR, garantindo que apenas solicitações autorizadas possam acessar o endpoint de retomada. Monitorar o uso de memória do servidor é essencial para detectar possíveis ataques DoS. A implementação dessas medidas ajudará a reduzir a superfície de ataque e proteger sua aplicação Next.js.
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
PPR (Pre-Renderizado Parcial) é uma funcionalidade do Next.js que permite renderizar algumas rotas no servidor e outras no cliente, otimizando o desempenho. A vulnerabilidade reside dentro do endpoint de retomada do PPR, que é usado para retomar o processo de renderização.
O modo mínimo no Next.js é projetado para otimizar o desempenho, reduzindo a quantidade de código executado no servidor. No entanto, neste caso, esta otimização expõe uma vulnerabilidade.
Se você estiver usando PPR no modo mínimo e não tiver atualizado para a versão 16.1.5 ou superior, sua aplicação é vulnerável.
Sim, você pode limitar o tamanho máximo do corpo da solicitação POST e revisar e proteger sua configuração de PPR.
Monitore o uso de memória do servidor, revise os logs do servidor em busca de atividade suspeita e atualize para a versão 16.1.5 do Next.js o mais rápido possível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.