Vercel News
·
CVE-2026-23864 概要
内容提要
React Server Components 存在多项高危漏洞,未导致远程代码执行。Vercel WAF 已部署新规则保护项目,用户需尽快升级到修补版本。受影响版本包括 19.0.x、19.1.x 和 19.2.x。
关键要点
-
React Server Components 存在多项高危漏洞,但未导致远程代码执行。
-
Vercel WAF 已部署新规则以保护项目,用户需尽快升级到修补版本。
-
受影响的版本包括 19.0.x、19.1.x 和 19.2.x。
-
CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。
-
漏洞通过发送特制的 HTTP 请求触发,影响 react-server-dom-parcel、react-server-dom-webpack 和 react-server-dom-turbopack 包。
-
受影响的框架包括 Next.js 的多个版本及其他依赖于 React Server Components 的框架和插件。
-
建议用户尽快升级到最新的修补版本以防止此问题。
-
修复版本包括 React: 19.0.4, 19.1.5, 19.2.4 和 Next.js: 15.0.8, 15.1.12 等。
-
感谢 Mufeed VH、Joachim Viide、RyotaK 和 Xiangwei Zhang 的负责任披露。
延伸解读
漏洞影响分析
CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。开发者需关注这些漏洞可能对应用性能的影响,尤其是在高流量情况下,及时采取措施以避免服务中断。
升级的重要性
尽管 Vercel WAF 已部署新规则以提供保护,但用户仍需尽快升级到修补版本。依赖 WAF 作为唯一的安全措施可能存在风险,及时更新可以确保应用的安全性和稳定性。
受影响的框架
多个框架和插件依赖于 React Server Components,受影响的版本包括 Next.js 的多个版本。开发者应检查其项目中使用的依赖,确保所有相关组件都已更新到安全版本,以防止潜在的安全风险。
延伸问答
CVE-2026-23864 是什么漏洞?
CVE-2026-23864 涉及多个拒绝服务漏洞,可能导致服务器崩溃或过度使用 CPU。
哪些版本的 React Server Components 受到影响?
受影响的版本包括 19.0.x、19.1.x 和 19.2.x。
如何解决 CVE-2026-23864 漏洞?
用户需尽快升级到修补版本,推荐的修复版本包括 React: 19.0.4, 19.1.5, 19.2.4 和 Next.js: 15.0.8, 15.1.12 等。
Vercel WAF 对 CVE-2026-23864 有何保护措施?
Vercel WAF 已部署新规则以保护项目,但用户仍需立即升级到修补版本。
CVE-2026-23864 漏洞是如何被触发的?
这些漏洞通过发送特制的 HTTP 请求触发,影响 Server Function 端点。
哪些框架和插件受 CVE-2026-23864 漏洞影响?
受影响的框架包括 Next.js 的多个版本及其他依赖于 React Server Components 的框架和插件,如 Vite 和 React Router。
