CVE-2026-44572 in next.jsinformación

Resumen

por VulDB • 2026-05-13

Next.js es un framework de React para construir aplicaciones web full-stack. Desde la versión 12.2.0 hasta antes de 15.5.16 y en la versión 16.2.5, un cliente externo podría enviar un encabezado `x-nextjs-data` en una solicitud normal a una ruta gestionada por middleware que devuelve una redirección. Cuando esto ocurría, el middleware/proxy podía tratar la solicitud como una solicitud de datos y reemplazar el encabezado estándar de redirección `Location` con el encabezado interno `x-nextjs-redirect`. Los navegadores no siguen `x-nextjs-redirect`, por lo que la respuesta se convertía en una redirección inutilizable para los clientes normales. Si la aplicación estaba desplegada detrás de una CDN o un proxy inverso que almacena en caché las respuestas 3xx sin variar según este encabezado, una única solicitud de un atacante podría envenenar la respuesta de redirección almacenada en caché para la ruta afectada. Los visitantes posteriores podrían entonces recibir una respuesta de redirección almacenada en caché sin un encabezado `Location`, lo que causaría una denegación de servicio para esa ruta de redirección hasta que la entrada de caché expirara o fuera purgada. Esta vulnerabilidad está corregida en las versiones 15.5.16 y 16.2.5.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-06

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363639

CPE

listo

EPSS

0.00008

KEV

no

Actividades

muy bajo

Sector

Insurance, Finance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44572
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44572
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44572/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!