Múltiplas vulnerabilidades de segurança divulgadas no React e no Next.js; recomendação é aplicar patch imediatamente

• A equipe do React e a Vercel divulgaram simultaneamente 12 vulnerabilidades de segurança que afetam React Server Components e o Next.js, recomendando fortemente a atualização imediata das aplicações
• Estão incluídos diversos vetores de ataque, como negação de serviço (DoS), bypass de middleware, SSRF, XSS e cache poisoning, classificados em 6 casos de severidade High, 4 Moderate e 2 Low
• As versões com correção são React 19.0.6/19.1.7/19.2.6 e Next.js 15.5.16/16.2.5, e frameworks de servidor baseados em React também precisam ser atualizados
• Algumas vulnerabilidades não podem ser bloqueadas por defesas em nível de rede, como WAF, tornando indispensável corrigir o próprio código da aplicação
• As vulnerabilidades estão distribuídas por amplas áreas funcionais do Next.js, incluindo Server Components, Pages Router e Image Optimization API, ampliando o escopo do impacto

Pacotes afetados e versões com patch

• Alvos de patch relacionados ao React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — cada um deve ser atualizado para as versões 19.0.6, 19.1.7 e 19.2.6
• Alvos de patch do Next.js: 15.5.16 e 16.2.5
• Ao usar frameworks de servidor baseados em React como Vinext, OpenNext e TanStack Start, também é necessário atualizar esses frameworks para a versão mais recente

Vulnerabilidades de severidade High (6 casos)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — negação de serviço (DoS) em React Server Components
  • Vulnerabilidade que afeta tanto o React quanto o Next.js
• GHSA-267c-6grr-h53f — bypass de middleware por meio da rota segment-prefetch
• GHSA-mg66-mrh9-m8jx — negação de serviço por exaustão de conexões (connection exhaustion) em Cache Components
• GHSA-492v-c6pp-mqqv — bypass de middleware por injeção de parâmetros em rotas dinâmicas
  • Não pode ser bloqueada com segurança por regras de WAF e pode quebrar o funcionamento da aplicação
• GHSA-c4j6-fc7j-m34r — SSRF (Server-Side Request Forgery) via upgrade de WebSocket
  • Não pode ser bloqueada com segurança por regras de WAF
• GHSA-36qx-fr4f-26g5 — bypass de middleware no Pages Router i18n

Vulnerabilidades de severidade Moderate (4 casos)

• GHSA-ffhc-5mcf-pf4q — XSS via CSP nonce
• GHSA-gx5p-jg67-6x7h — XSS em scripts beforeInteractive
• GHSA-h64f-5h5j-jqjh — negação de serviço na Image Optimization API
• GHSA-wfc6-r584-vfw7 — cache poisoning em respostas RSC

Vulnerabilidades de severidade Low (2 casos)

• GHSA-vfv6-92ff-j949 — cache poisoning por colisão de cache busting em RSC
• GHSA-3g8h-86w9-wvmq — cache poisoning em redirecionamento de middleware

Possibilidade de bloqueio por WAF

• As vulnerabilidades que podem ser bloqueadas em nível de rede (WAF) ficam limitadas a parte da família DoS, e regras já existentes para CVEs de React Server Component também se aplicam às novas vulnerabilidades de DoS
• Muitas vulnerabilidades de severidade High, como bypass de middleware, SSRF e XSS, não podem ser bloqueadas com segurança por WAF, fazendo do patch no código da aplicação a única resposta efetiva
• Há itens que podem ser tratados com regras WAF personalizadas, mas aplicá-las como regras gerenciadas globais traz o risco de quebrar o funcionamento da aplicação

Impacto por adaptador de framework

• Vinext: por ter arquitetura diferente do Next.js padrão, não é vulnerável aos CVEs divulgados
  • Não implementa o protocolo PPR resume, não expõe endpoints data-route do Pages Router e remove cabeçalhos internos como x-nextjs-data na borda de requisição
  • Como defesa adicional, passou a exigir React 19.2.6 ou superior ao executar vinext init
• OpenNext: o próprio adaptador não é diretamente vulnerável, mas o usuário precisa atualizar manualmente a versão do Next.js da aplicação
  • Já foi lançada uma nova versão com reforços adicionais no adaptador