TL;DR: В React Server Components обнаружены высокоуровневые уязвимости, связанные с DoS-атаками через специально сформированные HTTP-запросы. Уязвимости затрагивают версии 19.0.x, 19.1.x и 19.2.x. Рекомендуется немедленное обновление до патченных версий.
Введение
React Server Components (RSC) — это мощный инструмент для серверного рендеринга React-компонентов, который позволяет оптимизировать производительность и уменьшить размер клиентского кода. Однако, как и любая сложная технология, RSC не лишена уязвимостей. CVE-2026-23864 — это набор уязвимостей, которые могут привести к DoS-атакам, вызывая сбои сервера, исключения out-of-memory или чрезмерное использование CPU.
Основная часть
Описание уязвимостей
Уязвимости CVE-2026-23864 связаны с обработкой специально сформированных HTTP-запросов к Server Function endpoints. Эти запросы могут вызывать различные проблемы в зависимости от конфигурации приложения и используемого кода:
- Сбои сервера: Некорректная обработка запросов может привести к краху сервера.
- Out-of-memory исключения: Уязвимости могут вызывать утечки памяти, приводящие к исчерпанию ресурсов.
- Чрезмерное использование CPU: Некоторые запросы могут вызывать интенсивные вычисления, что приводит к перегрузке CPU.
Затронутые версии
Уязвимости присутствуют в следующих версиях пакетов:
react-server-dom-parcelreact-server-dom-webpackreact-server-dom-turbopack
Эти пакеты включены в следующие фреймворки и бандлеры:
- Next.js (версии 13.x, 14.x, 15.x, и 16.x)
- Другие фреймворки и плагины, зависящие от реализации React Server Components (например, Vite, Parcel, React Router, RedwoodSDK, Waku)
Практическое применение
Рекомендации по обновлению
Для устранения уязвимостей рекомендуется обновить следующие пакеты до патченных версий:
- React: 19.0.4, 19.1.5, 19.2.4
- Next.js: 15.0.8, 15.1.12, 15.2.9, 15.3.9, 15.4.11, 15.5.10, 15.6.0-canary.61, 16.0.11, 16.1.5, 16.2.0-canary.9
Пример обновления зависимостей
Обновите зависимости в вашем проекте, используя команды npm или yarn:
npm install react@19.2.4 react-server-dom-webpack@19.2.4
или
yarn add react@19.2.4 react-server-dom-webpack@19.2.4
Использование WAF
Vercel автоматически развернул новые правила в своем WAF для защиты проектов, размещенных на их платформе. Однако не стоит полагаться только на WAF — обновление до патченных версий обязательно.
Заключение
Уязвимости CVE-2026-23864 представляют серьезную угрозу для проектов, использующих React Server Components. Своевременное обновление зависимостей и применение рекомендаций по безопасности помогут защитить ваше приложение от потенциальных атак. Будьте внимательны к обновлениям и следите за последними выпусками патчей.
Источник: https://vercel.com/changelog/summary-of-cve-2026-23864