Sejumlah kerentanan keamanan di React dan Next.js diungkap, patch segera direkomendasikan

• Tim React dan Vercel secara bersamaan mengungkap 12 kerentanan keamanan yang memengaruhi React Server Components dan Next.js, serta sangat merekomendasikan pembaruan aplikasi segera
• Berbagai vektor serangan termasuk penolakan layanan (DoS), bypass middleware, SSRF, XSS, cache poisoning, dan lainnya, dengan klasifikasi 6 High, 4 Moderate, dan 2 Low
• Versi patch yang disediakan adalah React 19.0.6/19.1.7/19.2.6 dan Next.js 15.5.16/16.2.5, dan framework server berbasis React juga perlu diperbarui
• Beberapa kerentanan tidak dapat diblokir dengan pertahanan tingkat jaringan seperti WAF, sehingga patch pada kode aplikasi itu sendiri wajib dilakukan
• Kerentanan tersebar di cakupan fitur yang luas pada Next.js seperti Server Components, Pages Router, Image Optimization API, sehingga ruang lingkup dampaknya besar

Paket yang terdampak dan versi patch

• Target patch terkait React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — masing-masing perlu diperbarui ke versi 19.0.6, 19.1.7, 19.2.6
• Target patch Next.js: 15.5.16 dan 16.2.5
• Jika menggunakan framework server berbasis React seperti Vinext, OpenNext, dan TanStack Start, framework tersebut juga perlu diperbarui ke versi terbaru

Kerentanan tingkat High (6)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — penolakan layanan (DoS) pada React Server Components
  • Kerentanan ini memengaruhi baik React maupun Next.js
• GHSA-267c-6grr-h53f — bypass middleware melalui route segment-prefetch
• GHSA-mg66-mrh9-m8jx — penolakan layanan melalui connection exhaustion pada Cache Components
• GHSA-492v-c6pp-mqqv — bypass middleware melalui injeksi parameter route dinamis
  • Tidak dapat diblokir dengan aman menggunakan aturan WAF dan dapat merusak perilaku aplikasi
• GHSA-c4j6-fc7j-m34r — SSRF (server-side request forgery) melalui upgrade WebSocket
  • Tidak dapat diblokir dengan aman menggunakan aturan WAF
• GHSA-36qx-fr4f-26g5 — bypass middleware pada Pages Router i18n

Kerentanan tingkat Moderate (4)

• GHSA-ffhc-5mcf-pf4q — XSS melalui CSP nonce
• GHSA-gx5p-jg67-6x7h — XSS pada skrip beforeInteractive
• GHSA-h64f-5h5j-jqjh — penolakan layanan pada Image Optimization API
• GHSA-wfc6-r584-vfw7 — cache poisoning pada respons RSC

Kerentanan tingkat Low (2)

• GHSA-vfv6-92ff-j949 — cache poisoning melalui tabrakan cache busting RSC
• GHSA-3g8h-86w9-wvmq — cache poisoning pada redirect middleware

Apakah bisa diblokir oleh WAF

• Kerentanan yang dapat diblokir di tingkat jaringan (WAF) hanya terbatas pada sebagian kategori DoS, dan aturan respons untuk CVE React Server Component yang ada juga berlaku untuk kerentanan DoS baru
• Banyak kerentanan tingkat High seperti bypass middleware, SSRF, dan XSS tidak dapat diblokir dengan aman oleh WAF, sehingga patch kode aplikasi menjadi satu-satunya langkah mitigasi
• Ada item yang bisa ditangani dengan aturan WAF kustom, tetapi jika diterapkan sebagai aturan managed global, terdapat risiko merusak perilaku aplikasi

Dampak per adapter framework

• Vinext: karena arsitekturnya berbeda dari Next.js bawaan, tidak rentan terhadap CVE yang diungkap
  • Protokol PPR resume belum diimplementasikan, endpoint data-route Pages Router tidak diekspos, dan header internal seperti x-nextjs-data dihapus pada batas permintaan
  • Sebagai pertahanan tambahan, vinext init diubah agar mensyaratkan React 19.2.6 atau lebih baru
• OpenNext: adapter itu sendiri tidak rentan secara langsung, tetapi pengguna harus memperbarui versi Next.js aplikasi secara langsung
  • Versi baru yang semakin memperkuat adapter juga telah dirilis