U verzijama Next.js od 15.1.0 do 15.1.8 postoji greška u keširanju koja može omogućiti napadačima da izazovu DoS uslove isporučujući prazne stranice. Ova ranjivost, označena kao CVE-2025-49826, otkrivena je u popularnom React-frameworku za web razvoj. Upozorenje je objavljeno na mreži X od strane sigurnosnih istraživača Allam Rachida (zhero) i Allam Yassera (inzo_), a detaljnije informacije dostupne su na portalu Cybersecurity News.
Da bi napad bio uspješan, moraju biti ispunjena tri ključna uslova: korištenje pogođene verzije Next.js (od 15.1.0 do 15.1.8), upotreba Incremental Static Regeneration (ISR) s ponovnom validacijom keša u produkcijskom načinu rada (next start ili samostalno postavljeno) te primjena Server-Side Renderinga (SSR) s mrežom za isporuku sadržaja (CDN) koja kešira 204 odgovore.
Ova ranjivost nastaje uslijed greške u mehanizmu keširanja odziva frameworka, s posebnim fokusom na HTTP 204 statuse u renderovanju statičkih stranica. Nedostatak stvara utrku stanja u mehanizmu dijeljenog objekta odziva, što dovodi do pogrešnog keširanja 204 odgovora kao statičkih stranica. Kada napadač uspješno iskoristi ovu grešku, keš se može “otrovati” praznim odgovorima, što rezultira prikazivanjem praznih stranica svim korisnicima koji pokušaju pristupiti pogođenim statičkim stranicama. Ovo može stvoriti značajan problem uskraćivanja usluge (DoS), posebno za aplikacije sa velikim prometom koje se oslanjaju na ISR za optimizaciju performansi.
Tim za razvoj Next.js je izmijenio kod kako bi otklonio ovu grešku, uklanjajući problematični dio koda odgovoran za postavljanje neispravnih 204 odgovora i restrukturirajući arhitekturu keširanja odziva kako više ne bi ovisila o dijeljenim objektima odziva. Preporučuje se hitna nadogradnja na verziju Next.js 15.1.8 ili noviju kako bi se u potpunosti otklonila ranjivost CVE-2025-49826. Organizacije koje koriste ranjive verzije trebaju dati prioritet ažuriranju svojih zavisnosti i provesti detaljno testiranje svojih ISR i SSR implementacija. Aplikacije hostovane na Vercel platformi nisu pogođene zbog svoje infrastrukture.
Timovi za razvoj bi trebali implementirati sveobuhvatno sigurnosno praćenje svojih Next.js aplikacija, fokusirajući se na anomalije u ponašanju keša i neočekivane obrasce 204 odgovora koji bi mogli ukazivati na pokušaje eksploatacije.