Vercel News
·
CVE-2026-23864 概要
内容提要
React Server Components 存在多项高危漏洞,未导致远程代码执行。Vercel WAF 已部署新规则保护项目,用户需尽快升级到修补版本。受影响版本包括 19.0.x、19.1.x 和 19.2.x。
关键要点
-
React Server Components 存在多项高危漏洞,但未导致远程代码执行。
-
Vercel WAF 已部署新规则以保护项目,用户需尽快升级到修补版本。
-
受影响的版本包括 19.0.x、19.1.x 和 19.2.x。
-
CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。
-
漏洞通过发送特制的 HTTP 请求触发,影响 react-server-dom-parcel、react-server-dom-webpack 和 react-server-dom-turbopack 包。
-
受影响的框架包括 Next.js 的多个版本及其他依赖于 React Server Components 的框架和插件。
-
建议用户尽快升级到最新的修补版本以防止此问题。
-
修复版本包括 React: 19.0.4, 19.1.5, 19.2.4 和 Next.js: 15.0.8, 15.1.12 等。
-
感谢 Mufeed VH、Joachim Viide、RyotaK 和 Xiangwei Zhang 的负责任披露。
延伸问答
CVE-2026-23864 是什么漏洞?
CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。
哪些版本的 React Server Components 受到影响?
受影响的版本包括 19.0.x、19.1.x 和 19.2.x。
如何解决 CVE-2026-23864 漏洞?
用户需尽快升级到修补版本,推荐的修复版本包括 React: 19.0.4, 19.1.5, 19.2.4 和 Next.js: 15.0.8, 15.1.12 等。
Vercel WAF 对 CVE-2026-23864 有何保护措施?
Vercel WAF 已部署新规则以保护项目,但用户仍需立即升级到修补版本。
CVE-2026-23864 漏洞是如何被触发的?
这些漏洞通过发送特制的 HTTP 请求触发,影响 Server Function 端点。
哪些框架和插件受 CVE-2026-23864 漏洞影响?
受影响的框架包括 Next.js 的多个版本及其他依赖于 React Server Components 的框架和插件,如 Vite 和 React Router。
