Multiple vulnerabilități critice au fost remediate în Next.js și React Server Components
Sursă: https://cybersecuritynews.com
Vercel a publicat o serie extinsă de avize de securitate pentru Next.js, care vizează peste o duzină de vulnerabilități, printre care atacuri de tip denial-of-service, bypass middleware-ului, server-side request forgery și cross-site scripting..
Aceste vulnerabilități afectează versiunile Next.js de la 13.x până la 16.x care utilizează App Router, precum și pachetele React Server Components pentru versiunile 19.x.
O vulnerabilitate de tip denial-of-service cu grad de severitate high, inregistrată ca CVE-2026-23870, afectează pachetele React Server Components pentru versiunile 19.x și toate implementările Next.js App Router pe versiunile 13.x, 14.x, 15.x și 16.x.
O cerere HTTP malițioasă, trimisă către orice endpoint al funcției de server App Router, atunci când este deserializată, poate declanșa o utilizare excesivă a procesorului, ducând la atacuri de tip denial-of-service în medii neactualizate.
Trei avize separate, GHSA-267c-6grr-h53f, GHSA-26hh-7cqf-hhc6 și GHSA-492v-c6pp-mqqv, abordează vulnerabilități de ocolire a middleware-ului în aplicațiile App Router.
URL-urile .rsc și segment-prefetch malițioase pot redirecționa către aceeași pagină fără a fi potrivite cu regulile de middleware prevăzute, permițând accesarea conținutului protejat fără verificări adecvate de autorizare.
Remedierea include acum variante de transfer App Router la generarea middleware matchers, asigurând că măsurile de protecție middleware se aplică în mod consecvent tuturor tipurilor de solicitări, inclusiv variantelor de prefetch.
Până când va fi posibilă o actualizare, dezvoltatorii ar trebui să impună autorizarea direct în logica de rutare sau de pagină subiacentă, în loc să se bazeze exclusiv pe middleware.
Înregistrată sub numărul CVE-2026-44578 și inclusă în GHSA-c4j6-fc7j-m34r, această vulnerabilitate de severitate high permite falsificarea cererilor pe partea de server prin intermediul unor cereri de actualizare WebSocket special create, în cadrul implementărilor Node.js auto-găzduite.
Un atacator poate manipula serverul pentru a redirecționa cererile către destinații interne sau externe arbitrare, expunând potențial serviciile interne sau endpoint-urile de metadate din cloud, un scenariu deosebit de periculos în mediile native de cloud.
CVE-2026-44573 (GHSA-36qx-fr4f-26g5) afectează aplicațiile care utilizează Pages Router cu funcția i18n configurată împreună cu autorizarea bazată pe middleware.
Pe lângă vulnerabilitățile cu grad de severitate high, Vercel a remediat și mai multe vulnerabilități cu severitate moderată și scăzută.
Acestea includ vulnerabilități de tip cross-site scripting în aplicațiile App Router care utilizează nonce CSP (GHSA-ffhc-5mcf-pf4q) și în scripturile beforeInteractive cu date de intrare nesigure (GHSA-gx5p-jg67-6x7h), o vulnerabilitate de tip denial-of-service în API-ul de optimizare a imaginilor (GHSA-h64f -5h5j-jqjh) și erori de cache poisoning în răspunsurile React Server Component (GHSA-wfc6-r584-vfw7, GHSA-vfv6-92ff-j949).
Un atac DoS de epuizare a conexiunilor în componentele de cache (GHSA-mg66-mrh9-m8jx) și un atac de tip cache poisoning asupra redirecționărilor middleware (GHSA-3g8h-86w9-wvmq) completează lista avertismentelor.
Instituțiile care utilizează versiunile afectate ale Next.js ar trebui să acorde prioritate actualizării imediate.
Sursă: https://cybersecuritynews.com/next-js-react-server-vulnerabilities/
