Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Cyber Security News · 8.5., 16:40 · sikkerhet

Vercel patcher 12 sårbarheter i Next.js 13 til 16: én HTTP-forespørsel kan kverke serveren din

SYNOPSIS_GENERERT

Vercel publiserte 7. mai patcher for tolv sårbarheter i Next.js 13.x til 16.x og React Server Components 19.x, inkludert en CVE-2026-23870 som lar én HTTP-forespørsel mot et Server Function-endepunkt utløse CPU-kollaps i upatchede miljøer.

Vercel publiserte 7. mai en samlet sikkerhetsadvarsel som dekker Next.js 13.x, 14.x, 15.x og 16.x på App Router, samt React Server Components 19.x. Tre av sårbarhetene er klassifisert som high severity, og angripere trenger ikke autentisering for å utløse dem.

Sentralt står CVE-2026-23870, en denial-of-service-feil i React Flight-protokollens deserialisering. En spesielt utformet HTTP-forespørsel sendt mot et hvilket som helst App Router Server Function-endepunkt utløser massiv CPU-bruk fordi inndata-payload ikke valideres mot strukturelle eller typebaserte begrensninger. Resultatet er at upatchede miljøer kan kveles av én enkelt forespørsel.

Middleware-baserte tilgangskontroller har også fått tre advarsler: GHSA-267c-6grr-h53f, GHSA-26hh-7cqf-hhc6 og GHSA-492v-c6pp-mqqv. Spesielt utformede .rsc-URL-er og segment-prefetch-forespørsler kan rute til samme side uten å treffe middleware-reglene, slik at beskyttet innhold lekkes uten autorisasjonssjekk. Patchen utvider matcher-logikken til å dekke alle App Router-transportvarianter, inkludert prefetch.

«Inntil oppgradering er mulig, bør utviklere håndheve autorisasjon direkte i route- eller side-logikken heller enn å stole utelukkende på middleware.» — Vercels sikkerhetsadvarsel

For selvhostede Node.js-distribusjoner gjelder også CVE-2026-44578: en SSRF-feil via crafted WebSocket-upgrade-forespørsler som lar en angriper proxy-e forespørsler til vilkårlige interne eller eksterne mål. Vercel-hostede miljøer er eksplisitt unntatt. Pages Router-brukere med i18n må også oppgradere — CVE-2026-44573 lar /_next/data//.json-forespørsler uten locale omgå middleware-autorisasjon helt.

Hva bør du gjøre?

  1. Sjekk Next.js-versjonen din med npm ls next og oppgrader til siste patchversjon for 13.x, 14.x, 15.x eller 16.x umiddelbart.
  2. Flytt kritisk autorisasjonslogikk ut av middleware og inn i route- eller page-handlere som midlertidig tiltak hvis du ikke kan oppgradere i dag.
  3. Blokker WebSocket-upgrade på reverse proxy eller load balancer hvis du kjører selvhostet, og restrikt server-egress til kjente interne nettverk.
  4. Audit .rsc- og /_next/data/-traffikk i loggene dine for å sjekke om noen allerede har sondert middleware-bypassen.
Åpne eksternt kildedokument
sikkerhetutviklingverktøy

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN