文章总结： Vercel发布Next.js安全公告修复多个高危漏洞，包括CVE-2026-23870拒绝服务攻击、中间件授权绕过、CVE-2026-44578WebSocketSSRF攻击及XSS漏洞，影响13.x至16.x版本。建议立即升级或通过路由级授权检查、限制WebSocket升级等措施临时缓解。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,解决方案,漏洞分析

Next.js 和 React 服务器组件中多个严重漏洞已修复

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月8日 12:25 北京

在小说阅读器读本章

去阅读

Vercel 发布了一系列针对 Next.js 的安全公告，解决了十几个漏洞，包括拒绝服务攻击、中间件绕过攻击、服务器端请求伪造攻击和跨站脚本攻击。

这些缺陷会影响使用 App Router 的 Next.js 版本 13.x 到 16.x，以及版本 19.x 的 React Server Components 包。

CVE-2026-23870：通过 React 服务器组件实现的拒绝服务攻击

一个被追踪为 CVE-2026-23870 的高危拒绝服务漏洞会影响 React Server Components 19.x 版本的软件包以及 Next.js App Router 13.x、14.x、15.x 和 16.x 版本上的所有部署。

向任何应用路由器服务器函数端点发送的特制 HTTP 请求，在反序列化时，可能会触发过多的 CPU 使用率，从而在未打补丁的环境中导致拒绝服务攻击。

问题根源在于 React “Flight” 协议的反序列化逻辑，该逻辑未能充分强制执行入站有效负载的结构或类型约束。

中间件和代理授权绕过

三份独立的公告GHSA-267c-6grr-h53f、GHSA-26hh-7cqf-hhc6和GHSA-492v-c6pp-mqqv 解决了 App Router 应用程序中的中间件绕过漏洞。

精心构造的.rsc、分段预取的 URL 可以解析到同一页面，而无需通过预期的中间件规则进行匹配，从而允许在没有适当授权检查的情况下访问受保护的内容。

该修复程序现在在生成中间件匹配器时包含了应用程序路由器传输变体，从而确保中间件保护始终适用于所有请求类型，包括预取变体。

在升级成为可能之前，开发人员应该直接在底层路由或页面逻辑中强制执行授权，而不是仅仅依赖中间件。

CVE-2026-44578：通过 WebSocket 升级请求的 SSRF 攻击

该漏洞被追踪为 CVE-2026-44578，并包含在GHSA-c4j6-fc7j-m34r中，这是一个高危漏洞，它允许通过精心构造的 WebSocket 升级请求在自托管的 Node.js 部署中伪造服务器端请求。

攻击者可以操纵服务器，将请求代理到任意内部或外部目标，从而可能暴露内部服务或云元数据端点，这在云原生环境中尤其危险。

明确指出，Vercel托管的部署不受影响。此修复程序将与标准HTTP请求相同的WebSocket升级处理安全检查应用于WebSocket升级处理。

CVE-2026-44573：Pages Router i18n 中间件绕过

CVE-2026-44573 ( GHSA-36qx-fr4f-26g5 ) 影响使用 Pages Router 并配置了 i18n 以及基于中间件的授权的应用程序。

没有本地化信息的/_next/data/<buildId>/<page>.json请求完全绕过了中间件，使攻击者能够在不通过授权检查的情况下检索受保护页面的服务器端渲染的 JSON。

匹配器逻辑已更新，可对带前缀和不带前缀的数据路由应用一致的匹配。

除了高危缺陷外，Vercel 还修复了一些中等和低危问题。

其中包括使用 CSP nonce 的应用路由应用程序中的跨站脚本漏洞（GHSA-ffhc-5mcf-pf4q）和使用beforeInteractive不受信任输入的脚本中的跨站脚本漏洞（GHSA-gx5p-jg67-6x7h），图像优化 API 中的拒绝服务漏洞（GHSA-h64f-5h5j-jqjh），以及 React 服务器组件响应中的缓存中毒问题（GHSA-wfc6-r584-vfw7、GHSA-vfv6-92ff-j949）。

缓存组件中的连接耗尽 DoS 攻击 (GHSA-mg66-mrh9-m8jx) 和中间件重定向的缓存中毒攻击 (GHSA-3g8h-86w9-wvmq) 也出现在安全建议列表中。

运行受影响的 Next.js 版本的组织应优先立即升级。

对于无法立即升级的团队，建议的临时缓解措施包括：在单个路由或页面逻辑中强制执行授权，而不是仅仅依赖中间件；在反向代理或负载均衡器级别阻止 WebSocket 升级；以及将服务器出口限制在已知的内部网络。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Next.js 和 React 服务器组件中多个严重漏洞已修复》