Công bố nhiều lỗ hổng bảo mật trong React và Next.js, khuyến nghị vá ngay lập tức

• Nhóm React và Vercel đồng thời công bố 12 lỗ hổng bảo mật ảnh hưởng đến React Server Components và Next.js, đồng thời khuyến nghị mạnh mẽ cập nhật ứng dụng ngay lập tức
• Bao gồm nhiều vector tấn công như từ chối dịch vụ (DoS), vượt qua middleware, SSRF, XSS, cache poisoning; được phân loại thành 6 lỗ hổng mức High, 4 mức Moderate và 2 mức Low
• Các phiên bản vá được cung cấp gồm React 19.0.6/19.1.7/19.2.6 và Next.js 15.5.16/16.2.5; các framework server dựa trên React cũng cần được cập nhật cùng lúc
• Một số lỗ hổng không thể bị chặn bằng biện pháp phòng thủ ở cấp độ mạng như WAF, vì vậy bắt buộc phải vá ngay trong mã ứng dụng
• Các lỗ hổng phân bố trên nhiều khu vực chức năng rộng của Next.js như Server Components, Pages Router, Image Optimization API, nên phạm vi ảnh hưởng rất lớn

Gói bị ảnh hưởng và phiên bản vá

• Các gói React cần vá: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — mỗi gói cần được cập nhật lên các phiên bản 19.0.6, 19.1.7, 19.2.6 tương ứng
• Các bản vá Next.js: 15.5.16 và 16.2.5
• Nếu đang dùng các framework server dựa trên React như Vinext, OpenNext, TanStack Start, cũng cần cập nhật framework đó lên phiên bản mới nhất

Lỗ hổng mức High (6 mục)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — từ chối dịch vụ (DoS) trong React Server Components
  • Lỗ hổng này ảnh hưởng đến cả React lẫn Next.js
• GHSA-267c-6grr-h53f — vượt qua middleware thông qua route segment-prefetch
• GHSA-mg66-mrh9-m8jx — từ chối dịch vụ thông qua cạn kiệt kết nối (connection exhaustion) của Cache Components
• GHSA-492v-c6pp-mqqv — vượt qua middleware thông qua tiêm tham số vào route động
  • Không thể chặn an toàn bằng quy tắc WAF và có thể làm hỏng hoạt động của ứng dụng
  Quảng cáo
• GHSA-c4j6-fc7j-m34r — SSRF (giả mạo yêu cầu phía máy chủ) thông qua nâng cấp WebSocket
  • Không thể chặn an toàn bằng quy tắc WAF
• GHSA-36qx-fr4f-26g5 — vượt qua middleware trong Pages Router i18n

Lỗ hổng mức Moderate (4 mục)

• GHSA-ffhc-5mcf-pf4q — XSS thông qua CSP nonce
• GHSA-gx5p-jg67-6x7h — XSS trong script beforeInteractive
• GHSA-h64f-5h5j-jqjh — từ chối dịch vụ trong Image Optimization API
• GHSA-wfc6-r584-vfw7 — cache poisoning trong phản hồi RSC

Lỗ hổng mức Low (2 mục)

• GHSA-vfv6-92ff-j949 — cache poisoning thông qua xung đột cache busting của RSC
• GHSA-3g8h-86w9-wvmq — cache poisoning trong middleware redirect

Khả năng chặn bằng WAF

• Các lỗ hổng có thể chặn ở cấp độ mạng (WAF) chỉ giới hạn ở một phần nhóm DoS; các quy tắc xử lý CVE React Server Component hiện có cũng áp dụng được cho các lỗ hổng DoS mới
• Nhiều lỗ hổng mức High như vượt qua middleware, SSRF, XSS không thể được WAF chặn một cách an toàn, nên vá mã ứng dụng là biện pháp ứng phó duy nhất
• Một số mục có thể xử lý bằng quy tắc WAF tùy chỉnh, nhưng nếu áp dụng dưới dạng quy tắc managed toàn cục thì có nguy cơ làm hỏng hoạt động của ứng dụng

Ảnh hưởng theo từng adapter framework

• Vinext: do kiến trúc khác với Next.js gốc nên không bị ảnh hưởng bởi các CVE đã công bố
  • Không triển khai giao thức PPR resume, không phơi bày endpoint data-route của Pages Router, và loại bỏ các header nội bộ như x-nextjs-data tại ranh giới yêu cầu
  • Để tăng cường phòng vệ, vinext init đã được thay đổi để yêu cầu React 19.2.6 trở lên
• OpenNext: bản thân adapter không trực tiếp có lỗ hổng, nhưng người dùng phải tự cập nhật phiên bản Next.js của ứng dụng
  • Đã phát hành phiên bản mới để tăng cường thêm cho adapter