← volver
CVE-2025-49826

Next.js DoS vulnerability via cache poisoning

CVSS 7.5 HIGHEPSS 0.8%CWE-444
En resumen

Next.js tiene un error de caché que puede hacer que el servidor responda con un error 204 (sin contenido) a todos los usuarios que intenten acceder a una página, dejándola no disponible. Un atacante puede provocar esto enviando solicitudes HTTP específicas, interrumpiendo el servicio para todos.

Detalle técnico

Una vulnerabilidad de envenenamiento de caché en Next.js versiones 15.0.4-canary.51 hasta 15.1.7 permite que respuestas HTTP 204 se almacenen incorrectamente en caché para páginas estáticas bajo ciertas condiciones, causando denegación de servicio. El vector de ataque involucra solicitudes HTTP que disparan almacenamiento incorrecto en caché, afectando todas las solicitudes posteriores a la página envenenada. Corregido en versión 15.1.8.

Resumen generado y traducido por IA a partir de la descripción oficial.
Next.js is a React framework for building full-stack web applications. From versions 15.0.4-canary.51 to before 15.1.8, a cache poisoning bug leading to a Denial of Service (DoS) condition was found in Next.js. This issue does not impact customers hosted on Vercel. Under certain conditions, this issue may allow a HTTP 204 response to be cached for static pages, leading to the 204 response being served to all users attempting to access the page. This issue has been addressed in version 15.1.8.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
vercel · next.js

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/vercel/next.js/commit/a15b974ed707d63ad4da5b74c1441f5b7b120e93https://github.com/vercel/next.js/releases/tag/v15.1.8https://github.com/vercel/next.js/security/advisories/GHSA-67rr-84xm-4c7rhttps://vercel.com/changelog/cve-2025-49826