CVE-2026-23864 概要
Vercel News Vercel News ·

CVE-2026-23864 概要
💡 原文英文,约400词,阅读约需2分钟。
📝

内容提要

React Server Components 存在多项高危漏洞,未导致远程代码执行。Vercel WAF 已部署新规则保护项目,用户需尽快升级到修补版本。受影响版本包括 19.0.x、19.1.x 和 19.2.x。

🎯

关键要点

  • React Server Components 存在多项高危漏洞,但未导致远程代码执行。
  • Vercel WAF 已部署新规则以保护项目,用户需尽快升级到修补版本。
  • 受影响的版本包括 19.0.x、19.1.x 和 19.2.x。
  • CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。
  • 漏洞通过发送特制的 HTTP 请求触发,影响 react-server-dom-parcel、react-server-dom-webpack 和 react-server-dom-turbopack 包。
  • 受影响的框架包括 Next.js 的多个版本及其他依赖于 React Server Components 的框架和插件。
  • 建议用户尽快升级到最新的修补版本以防止此问题。
  • 修复版本包括 React: 19.0.4, 19.1.5, 19.2.4 和 Next.js: 15.0.8, 15.1.12 等。
  • 感谢 Mufeed VH、Joachim Viide、RyotaK 和 Xiangwei Zhang 的负责任披露。
🏷️

标签

React Server Components Vercel WAF cve 升级 远程代码执行 高危漏洞
➡️

继续阅读

  1. CVE-2025-59471 和 CVE-2025-59472 的摘要
    发现两个中等严重性的拒绝服务漏洞,影响自托管的Next.js应用,可能导致服务器因内存耗尽崩溃,但不涉及数据泄露。受影响版本为10到15.5.10及15到...
  2. 寻找物品的最佳蓝牙追踪器
    蓝牙追踪器可以帮助人们找到丢失的物品。现代蓝牙追踪器具备发声、精确定位和大范围追踪功能,并有反跟踪保护。苹果的AirTag适合iPhone用户,而Tile...
  3. OpenAI的总裁是特朗普的超级捐赠者
    OpenAI联合创始人Greg Brockman及其妻子在2025年向亲特朗普的超级政治行动委员会捐赠2500万美元,成为最大捐赠者之一。这一举动引发了对...
  4. 谷歌将以6800万美元和解其助手监控诉讼
    谷歌因未获同意的设备录音问题,可能需支付6800万美元和解款项。若和解获批,受影响用户可获赔18至56美元。
  5. 苹果奢华的AirPods Max降至历史最低价之一
    AirPods Max耳机现以429.99美元的优惠价出售,设计优雅,兼容Apple设备,支持高品质音频和主动噪声取消,适合Apple用户。
  6. Who will pioneer the next web?
    Who will build the next version of the web? Mozilla wants to make it more lik...
👤 个人中心
在公众号发送验证码完成验证