Mehrere Sicherheitslücken in React und Next.js offengelegt, sofortiges Patchen empfohlen

 (developers.cloudflare.com)
1 Punkte von GN⁺ 2 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Das React-Team und Vercel haben gleichzeitig 12 Sicherheitslücken offengelegt, die React Server Components und Next.js betreffen, und empfehlen dringend, Anwendungen umgehend zu aktualisieren
  • Enthalten sind verschiedene Angriffsvektoren wie Denial of Service (DoS), Middleware-Umgehung, SSRF, XSS und Cache Poisoning; eingestuft in 6 High-, 4 Moderate- und 2 Low-Schwachstellen
  • Als Patch-Versionen stehen React 19.0.6/19.1.7/19.2.6 sowie Next.js 15.5.16/16.2.5 bereit; auch React-basierte Server-Frameworks müssen mit aktualisiert werden
  • Einige Schwachstellen lassen sich selbst mit Netzwerk-Schutz auf WAF-Ebene nicht blockieren, daher ist ein Patch des Anwendungscodes zwingend erforderlich
  • Die Schwachstellen verteilen sich über breite Funktionsbereiche von Next.js wie Server Components, Pages Router und Image Optimization API, wodurch der Wirkungsbereich groß ist

Betroffene Pakete und Patch-Versionen

  • Für React relevante Patches: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — jeweils Update auf 19.0.6, 19.1.7, 19.2.6 erforderlich
  • Next.js-Patches: 15.5.16 und 16.2.5
  • Bei Nutzung React-basierter Server-Frameworks wie Vinext, OpenNext und TanStack Start muss auch das jeweilige Framework auf die neueste Version aktualisiert werden

High-Schwachstellen (6)

  • CVE-2026-23870 / GHSA-8h8q-6873-q5fj — Denial of Service (DoS) in React Server Components
    • Eine Schwachstelle, die sowohl React als auch Next.js betrifft
  • GHSA-267c-6grr-h53f — Middleware-Umgehung über die segment-prefetch-Route
  • GHSA-mg66-mrh9-m8jx — Denial of Service durch Connection Exhaustion in Cache Components
  • GHSA-492v-c6pp-mqqv — Middleware-Umgehung durch dynamische Parameter-Injektion in Routen
    • Lässt sich nicht sicher per WAF-Regel blockieren und kann das Anwendungsverhalten beeinträchtigen
  • GHSA-c4j6-fc7j-m34r — SSRF (Server-Side Request Forgery) über WebSocket-Upgrades
    • Lässt sich nicht sicher per WAF-Regel blockieren
  • GHSA-36qx-fr4f-26g5 — Middleware-Umgehung in Pages Router i18n

Moderate-Schwachstellen (4)

  • GHSA-ffhc-5mcf-pf4q — XSS über CSP-Nonce
  • GHSA-gx5p-jg67-6x7h — XSS in beforeInteractive-Skripten
  • GHSA-h64f-5h5j-jqjh — Denial of Service in der Image Optimization API
  • GHSA-wfc6-r584-vfw7 — Cache Poisoning in RSC-Antworten

Low-Schwachstellen (2)

  • GHSA-vfv6-92ff-j949 — Cache Poisoning durch RSC-Cache-Busting-Kollisionen
  • GHSA-3g8h-86w9-wvmq — Cache Poisoning bei Middleware-Redirects

Möglichkeit der WAF-Blockierung

  • Auf Netzwerkebene per WAF blockierbar sind nur einige DoS-artige Schwachstellen; bestehende Regeln zur Abwehr der bisherigen React-Server-Component-CVE greifen auch für die neuen DoS-Schwachstellen
  • Viele High-Schwachstellen wie Middleware-Umgehung, SSRF und XSS lassen sich per WAF nicht sicher blockieren, sodass ein Patch des Anwendungscodes die einzige Gegenmaßnahme ist
  • Einige Punkte lassen sich zwar mit benutzerdefinierten WAF-Regeln adressieren, bei Anwendung als globale Managed Rules besteht jedoch das Risiko, das Anwendungsverhalten zu stören

Auswirkungen je Framework-Adapter

  • Vinext: Aufgrund einer von Standard-Next.js abweichenden Architektur nicht von den veröffentlichten CVEs betroffen
    • PPR-Resume-Protokoll nicht implementiert, Pages-Router-Data-Route-Endpunkte nicht exponiert, interne Header wie x-nextjs-data werden an der Request-Grenze entfernt
    • Als zusätzliche Absicherung wurde vinext init so geändert, dass React 19.2.6 oder höher erforderlich ist
  • OpenNext: Der Adapter selbst ist nicht direkt verwundbar, Nutzer müssen jedoch die Next.js-Version ihrer Anwendung selbst aktualisieren
    • Neue Version zur zusätzlichen Härtung des Adapters bereits veröffentlicht

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.