NextJS Enfrenta Crítica Falha de Segurança em Middleware
Falha crítica no NextJS permite bypass de autenticação em middleware, gerando polêmica e disputa entre empresas como Vercel e Cloudflare.
De acordo com o youtuber, uma falha de segurança crítica foi descoberta no framework JavaScript NextJS, permitindo que invasores contornem autenticação e autorização em middleware. O problema, classificado como 9.1 em gravidade, afeta principalmente aplicações que dependem de middleware para controle de acesso.
A Gravidade da Falha
O apresentador explica que a exploração da vulnerabilidade é simples: um invasor pode ignorar qualquer middleware adicionando um cabeçalho específico à requisição. Isso é particularmente perigoso para aplicações que utilizam middleware para verificar, por exemplo, se um usuário pagou por um serviço antes de acessar determinadas funcionalidades.
Impacto e Reações
A falha gerou intensa discussão na comunidade tech, com críticas direcionadas à empresa por trás do NextJS, a Vercel, pelo tempo prolongado para corrigir o problema. O bug foi reportado em 27 de fevereiro, mas a correção só foi lançada em 18 de março, um atraso considerado inaceitável para uma vulnerabilidade tão grave.
Além disso, o incidente desencadeou uma disputa pública entre a Vercel e empresas como a Cloudflare, que tentou capitalizar a situação para atrair clientes insatisfeitos. O CEO da Vercel, por sua vez, respondeu lembrando falhas passadas da Cloudflare, como o "Cloudbleed", em uma troca que o youtuber descreve como "cringe".
Recomendações para Desenvolvedores
Para quem utiliza NextJS em produção, a principal recomendação é atualizar imediatamente para a versão corrigida. No entanto, o apresentador ressalta que aplicações sem middleware ou hospedadas em plataformas como Netlify não estão em risco. Já para quem opta por autohospedagem, a vulnerabilidade pode ser catastrófica se não for corrigida a tempo.
Alternativas e Patrocínio
O vídeo também sugere alternativas para evitar dependência exclusiva de soluções como Vercel ou Cloudflare, como a utilização de servidores Linux gerenciados por provedores como a Hostinger, patrocinadora do conteúdo. A empresa oferece servidores privados virtuais (VPS) a partir de US$ 10 por mês, com configurações adequadas para frameworks como NextJS.
Fonte: Youtube Video