Uma vulnerabilidade crítica recentemente descoberta na estrutura Next.js permite que invasores travem servidores auto-hospedados usando uma única solicitação HTTP, exigindo recursos insignificantes para execução.
Descoberta por pesquisadores da Harmony Intelligence, a falha de negação de serviço (DoS) afeta versões generalizadas da estrutura, incluindo a versão 15.x mais recente antes do patch.
A vulnerabilidade reside na função cloneBodyStream dentro de body-streams.ts, um componente responsável por copiar solicitações transmitidas para a memória antes de passá-las para o middleware. Ao contrário dos ataques típicos de esgotamento de recursos que exigem inundação de uma rede, esta falha explora a falta de limites de tamanho no buffer de memória interna.
De acordo com a divulgação, um invasor pode enviar um fluxo infinito de blocos de dados ao servidor. Embora o invasor possa liberar cada pedaço de sua própria memória imediatamente após o envio, o servidor Next.js tenta armazenar em buffer todo o fluxo na RAM.
Essa assimetria significa que um dispositivo com recursos mínimos descrito pelos pesquisadores como uma “torradeira inteligente” pode travar com sucesso um servidor corporativo robusto, esgotando sua memória.
A Harmony Intelligence descobriu a falha acidentalmente ao testar um agente AI AppSec contra uma vulnerabilidade diferente e conhecida, o desvio de autenticação rastreado como CVE-2025-29927.
Durante o teste, o agente executou de forma autônoma um script de prova de conceito que travou o aplicativo de demonstração, revelando a falha de dia zero na estrutura Next.js subjacente.
Sistemas Afetados e Impacto
A vulnerabilidade afeta especificamente aplicativos Next.js auto-hospedados que utilizam middleware. Os aplicativos hospedados diretamente na infraestrutura da Vercel não são afetados por esse problema, disse Harmony.
Dado que aproximadamente 55% das implantações do Next.js são auto-hospedadas (aumentando para 80% entre as empresas), a superfície de ataque potencial é significativa.
Atualmente, nenhum identificador CVE foi atribuído, embora tenha sido apresentado um pedido. Os pesquisadores recomendaram uma pontuação de gravidade CVSS v3.1 de 7,5 (alta), citando a baixa barreira de entrada e a falta de autenticação necessária para executar o ataque.
Vercel corrigiu a vulnerabilidade em 13 de outubro de 2025, introduzindo um limite padrão de 10 MB no tamanho do buffer interno. Os administradores são incentivados a atualizar imediatamente ou implementar restrições estritas em nível de proxy.
Status do componente/recomendaçãoTipo de vulnerabilidadeNegação de serviço não autenticada (DoS)Versões afetadasNext.js 15.x (<= 15.5.4), 14.x, 13.x e anterioresVersões corrigidas15.5.5, 16.0.0 ou mais recentesMitigação primáriaAtualizar para uma versão corrigida imediatamenteSoluçãoConfigurar um proxy reverso (por exemplo, Nginx) para impor limites client_max_body_size
Os pesquisadores enfatizam que as soluções padrão de limitação de taxa são ineficazes contra esse ataque porque a falha ocorre antes que os limitadores de taxa baseados em middleware possam processar a solicitação. Da mesma forma, a configuração bodyParser.sizeLimit integrada do Next.js não evita esse vetor específico de esgotamento de memória.
A descoberta ressalta a importância de estratégias de defesa profunda para arquiteturas auto-hospedadas. Embora a atualização seja a solução definitiva, colocar um proxy reverso configurado corretamente na frente dos servidores de aplicativos continua sendo uma prática recomendada crítica para rejeitar solicitações superdimensionadas antes que elas cheguem à camada de aplicativos.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
