Mehrere Sicherheitslücken in React und Next.js offengelegt, sofortiges Patchen empfohlen

• Das React-Team und Vercel haben gleichzeitig 12 Sicherheitslücken offengelegt, die React Server Components und Next.js betreffen, und empfehlen dringend, Anwendungen umgehend zu aktualisieren
• Enthalten sind verschiedene Angriffsvektoren wie Denial of Service (DoS), Middleware-Umgehung, SSRF, XSS und Cache Poisoning; eingestuft in 6 High-, 4 Moderate- und 2 Low-Schwachstellen
• Als Patch-Versionen stehen React 19.0.6/19.1.7/19.2.6 sowie Next.js 15.5.16/16.2.5 bereit; auch React-basierte Server-Frameworks müssen mit aktualisiert werden
• Einige Schwachstellen lassen sich selbst mit Netzwerk-Schutz auf WAF-Ebene nicht blockieren, daher ist ein Patch des Anwendungscodes zwingend erforderlich
• Die Schwachstellen verteilen sich über breite Funktionsbereiche von Next.js wie Server Components, Pages Router und Image Optimization API, wodurch der Wirkungsbereich groß ist

Betroffene Pakete und Patch-Versionen

• Für React relevante Patches: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — jeweils Update auf 19.0.6, 19.1.7, 19.2.6 erforderlich
• Next.js-Patches: 15.5.16 und 16.2.5
• Bei Nutzung React-basierter Server-Frameworks wie Vinext, OpenNext und TanStack Start muss auch das jeweilige Framework auf die neueste Version aktualisiert werden

High-Schwachstellen (6)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — Denial of Service (DoS) in React Server Components
  • Eine Schwachstelle, die sowohl React als auch Next.js betrifft
• GHSA-267c-6grr-h53f — Middleware-Umgehung über die segment-prefetch-Route
• GHSA-mg66-mrh9-m8jx — Denial of Service durch Connection Exhaustion in Cache Components
• GHSA-492v-c6pp-mqqv — Middleware-Umgehung durch dynamische Parameter-Injektion in Routen
  • Lässt sich nicht sicher per WAF-Regel blockieren und kann das Anwendungsverhalten beeinträchtigen
• GHSA-c4j6-fc7j-m34r — SSRF (Server-Side Request Forgery) über WebSocket-Upgrades
  • Lässt sich nicht sicher per WAF-Regel blockieren
• GHSA-36qx-fr4f-26g5 — Middleware-Umgehung in Pages Router i18n

Moderate-Schwachstellen (4)

• GHSA-ffhc-5mcf-pf4q — XSS über CSP-Nonce
• GHSA-gx5p-jg67-6x7h — XSS in beforeInteractive-Skripten
• GHSA-h64f-5h5j-jqjh — Denial of Service in der Image Optimization API
• GHSA-wfc6-r584-vfw7 — Cache Poisoning in RSC-Antworten

Low-Schwachstellen (2)

• GHSA-vfv6-92ff-j949 — Cache Poisoning durch RSC-Cache-Busting-Kollisionen
• GHSA-3g8h-86w9-wvmq — Cache Poisoning bei Middleware-Redirects

Möglichkeit der WAF-Blockierung

• Auf Netzwerkebene per WAF blockierbar sind nur einige DoS-artige Schwachstellen; bestehende Regeln zur Abwehr der bisherigen React-Server-Component-CVE greifen auch für die neuen DoS-Schwachstellen
• Viele High-Schwachstellen wie Middleware-Umgehung, SSRF und XSS lassen sich per WAF nicht sicher blockieren, sodass ein Patch des Anwendungscodes die einzige Gegenmaßnahme ist
• Einige Punkte lassen sich zwar mit benutzerdefinierten WAF-Regeln adressieren, bei Anwendung als globale Managed Rules besteht jedoch das Risiko, das Anwendungsverhalten zu stören

Auswirkungen je Framework-Adapter

• Vinext: Aufgrund einer von Standard-Next.js abweichenden Architektur nicht von den veröffentlichten CVEs betroffen
  • PPR-Resume-Protokoll nicht implementiert, Pages-Router-Data-Route-Endpunkte nicht exponiert, interne Header wie x-nextjs-data werden an der Request-Grenze entfernt
  • Als zusätzliche Absicherung wurde vinext init so geändert, dass React 19.2.6 oder höher erforderlich ist
• OpenNext: Der Adapter selbst ist nicht direkt verwundbar, Nutzer müssen jedoch die Next.js-Version ihrer Anwendung selbst aktualisieren
  • Neue Version zur zusätzlichen Härtung des Adapters bereits veröffentlicht