Next.js Mai-2026-Security-Release: 13 Advisories, sofortiges Upgrade nötig
Vercel hat am 7. Mai 2026 ein umfangreiches Sicherheits-Release für Next.js veröffentlicht, das insgesamt 13 Schwachstellen-Advisories abdeckt. Die Kategorien reichen von Denial of Service über Middleware- und Proxy-Bypässe, Server-Side Request Forgery (SSRF) und Cache Poisoning bis hin zu Cross-Site Scripting (XSS). Besonders schwerwiegend ist eine vorgelagerte React-Server-Components-Schwachstelle, die als CVE-2026-23870 verfolgt wird und als „High" eingestuft ist. Betroffen sind unter anderem Anwendungen, die middleware.js oder proxy.js für Autorisierung nutzen, sowie Anwendungen mit Server Functions, Partial Prerendering, Image Optimization API, WebSocket-Upgrades oder CSP-Nonces im App Router. Gepatchte Versionen stehen für Next.js (15.5.18 und 16.2.6) sowie für React-Pakete (react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack) in den Versionen 19.0.6, 19.1.7 und 19.2.6 bereit. Next.js 13.x und 14.x erhalten keine Sicherheits-Patches mehr – Nutzer dieser Versionen müssen auf eine gepatchte Version migrieren. Vercel weist explizit darauf hin, dass keine neuen WAF-Regeln ausgerollt werden, da die Advisories auf WAF-Ebene nicht zuverlässig geblockt werden können.
- 13 Advisories insgesamt: 5× High, 4× Moderate, 2× Low (jeweils mehrere Kategorien)
- CVE-2026-23870: High-Severity-DoS in React Server Components, upstream in React gemeldet
- Next.js 13.x und 14.x: kein Patch verfügbar – Migration auf 15.5.18 oder 16.2.6 erforderlich
- react-server-dom-*-Pakete: Fixes in 19.0.6, 19.1.7 und 19.2.6 für alle drei Varianten (parcel, webpack, turbopack)
- Vercel hat bewusst keine WAF-Regeln ausgerollt – Patching ist die einzig verlässliche Mitigation
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- LAUNCHvercel.com2w
Node.js 26.x jetzt in Vercel Sandboxes verfügbar
- FORSCHUNGarstechnica.com1d
Kritische Sicherheitslücke „BadHost" gefährdet Millionen KI-Agenten via Starlette
- LAUNCHvercel.com1w
Vercel WAF: Blockierter Traffic verursacht keine CDN-Kosten mehr
- LAUNCHvercel.com3w
Vercel open-sourced deepsec: KI-gestützter Security-Scanner für Codebases
Next.js Mai-2026-Security-Release: 13 Advisories, sofortiges Upgrade nötig
Vercel hat am 7. Mai 2026 ein umfangreiches Sicherheits-Release für Next.js veröffentlicht, das insgesamt 13 Schwachstellen-Advisories abdeckt. Die Kategorien reichen von Denial of Service über Middleware- und Proxy-Bypässe, Server-Side Request Forgery (SSRF) und Cache Poisoning bis hin zu Cross-Site Scripting (XSS). Besonders schwerwiegend ist eine vorgelagerte React-Server-Components-Schwachstelle, die als CVE-2026-23870 verfolgt wird und als „High" eingestuft ist. Betroffen sind unter anderem Anwendungen, die middleware.js oder proxy.js für Autorisierung nutzen, sowie Anwendungen mit Server Functions, Partial Prerendering, Image Optimization API, WebSocket-Upgrades oder CSP-Nonces im App Router. Gepatchte Versionen stehen für Next.js (15.5.18 und 16.2.6) sowie für React-Pakete (react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack) in den Versionen 19.0.6, 19.1.7 und 19.2.6 bereit. Next.js 13.x und 14.x erhalten keine Sicherheits-Patches mehr – Nutzer dieser Versionen müssen auf eine gepatchte Version migrieren. Vercel weist explizit darauf hin, dass keine neuen WAF-Regeln ausgerollt werden, da die Advisories auf WAF-Ebene nicht zuverlässig geblockt werden können.
- 13 Advisories insgesamt: 5× High, 4× Moderate, 2× Low (jeweils mehrere Kategorien)
- CVE-2026-23870: High-Severity-DoS in React Server Components, upstream in React gemeldet
- Next.js 13.x und 14.x: kein Patch verfügbar – Migration auf 15.5.18 oder 16.2.6 erforderlich
- react-server-dom-*-Pakete: Fixes in 19.0.6, 19.1.7 und 19.2.6 für alle drei Varianten (parcel, webpack, turbopack)
- Vercel hat bewusst keine WAF-Regeln ausgerollt – Patching ist die einzig verlässliche Mitigation
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- LAUNCHvercel.com2w
Node.js 26.x jetzt in Vercel Sandboxes verfügbar
- FORSCHUNGarstechnica.com1d
Kritische Sicherheitslücke „BadHost" gefährdet Millionen KI-Agenten via Starlette
- LAUNCHvercel.com1w
Vercel WAF: Blockierter Traffic verursacht keine CDN-Kosten mehr
- LAUNCHvercel.com3w
Vercel open-sourced deepsec: KI-gestützter Security-Scanner für Codebases