Otkrivena je ozbiljna sigurnosna povreda u popularnom React-baziranom web frameworku Next.js, koja omogućava napadačima da iskoriste mehanizme trovanja keša kako bi izazvali uvjete uskraćivanja usluge (DoS). Ova ranjivost, označena kao CVE-2025-49826, prijavljena je od strane sigurnosnih istraživača Allama Rachida (zhero) i Allama Yassera (inzo_), a pogađa verzije Next.js od 15.1.0 do 15.1.8, što je potaknulo tim za razvoj da izda hitna sigurnosna ažuriranja.
Ranjivost potiče od greške u trovanju keša koja manipulira mehanizmom keširanja odgovora frameworka, ciljajući specifično HTTP 204 odgovore prilikom renderiranja statičkih stranica. Pod određenim okolnostima, ova greška omogućava zlonamjernim akterima da “otruju” keš praznim odgovorima, uzrokujući da legitimni korisnici umjesto očekivanog sadržaja dobiju prazne stranice.
Da bi ova ranjivost bila iskoristiva, moraju biti istovremeno ispunjena tri ključna uvjeta: korištenje pogođene verzije Next.js (od 15.1.0 do 15.1.8), primjena Incremental Static Regeneration (ISR) sa revalidacijom keša u produkcijskom načinu rada (next start ili samostalno postavljanje), te implementacija Server-Side Rendering (SSR) sa Content Delivery Network (CDN) konfiguriranom za keširanje 204 odgovora.
Napadni vektor iskorištava uvjet utrke (race condition) u mehanizmu dijeljenog objekta odgovora u Next.js-u, gdje framework pogrešno obrađuje i kešira HTTP 204 status kodove. Kada se uspješno izvede, ova tehnika trovanja keša rezultira trajnim DoS uvjetima, jer se keširani prazni odgovor poslužuje svim sljedećim korisnicima koji pokušavaju pristupiti pogođenim statičkim stranicama. Utjecaj ranjivosti posebno je ozbiljan za aplikacije s velikim prometom koje se oslanjaju na ISR za optimizaciju performansi.
Tim za razvoj Next.js-a je riješio ovu ranjivost kroz sveobuhvatne izmjene koda koje ciljaju temeljni uzrok mehanizma trovanja keša. Glavno rješenje uključivalo je uklanjanje problematičnog toka koda odgovornog za postavljanje netočnih 204 odgovora u cjevovodu renderiranja statičkih stranica. Dodatno, programeri su eliminirali uvjet utrke preuređenjem arhitekture keširanja odgovora kako se više ne bi oslanjali na dijeljene objekte odgovora za popunjavanje Next.js keša odgovora.
Sigurnosni stručnjaci preporučuju hitnu migraciju na verziju Next.js 15.1.8 ili noviju, koja uključuje potpuno rješenje za CVE-2025-49826. Organizacije koje koriste pogođene verzije trebale bi dati prioritet ažuriranju svojih zavisnosti i provesti temeljito testiranje svojih ISR i SSR implementacija. Važno je napomenuti da aplikacije hostirane na Vercel platformi ostaju nedirnute zahvaljujući dizajnu infrastrukture platforme koji sprječava ovaj specifični napadni vektor. Razvojni timovi trebaju implementirati sveobuhvatno sigurnosno praćenje svojih Next.js aplikacija, fokusirajući se posebno na anomalije u ponašanju keša i neočekivane obrasce 204 odgovora koji bi mogli ukazivati na pokušaje iskorištavanja.
