Die Schwachstelle betrifft Next.js, ein verbreitetes React-Framework zum Bau vollständiger Webanwendungen (Frontend und Backend). Sie erlaubt es, in einer Next.js-Anwendung die Zugriffskontrolle zu umgehen – allerdings nur dann, wenn die Berechtigungsprüfung in der sogenannten Middleware stattfindet, also in der Zwischenschicht, die Anfragen vor dem Erreichen der eigentlichen Routen verarbeitet. Genau dort lässt sich die Prüfung aushebeln: Ein Angreifer kann eine manipulierte Anfrage so gestalten, dass die Middleware den internen Verarbeitungsweg fälschlich als legitime, anwendungsinterne Anfrage einstuft, wodurch die vorgeschaltete Autorisierung übersprungen wird. Konkret geschieht das über einen speziellen Anfrage-Header, mit dem sich die Anfrage als interne Teilanfrage ausgibt. Im Ergebnis erlangt ein unberechtigter Nutzer Zugriff auf Bereiche oder Funktionen, die eigentlich nur angemeldeten oder berechtigten Anwendern offenstehen sollten. Betroffen sind alle Anwendungen, die ihren Schutz allein auf Middleware-basierte Autorisierungsprüfungen stützen.