Se revelan múltiples vulnerabilidades de seguridad en React y Next.js; recomiendan aplicar parches de inmediato

• El equipo de React y Vercel revelaron simultáneamente 12 vulnerabilidades de seguridad que afectan a React Server Components y Next.js, y recomiendan enfáticamente actualizar las aplicaciones de inmediato
• Incluyen diversos vectores de ataque como denegación de servicio (DoS), evasión de middleware, SSRF, XSS y cache poisoning; se clasifican en 6 de severidad High, 4 Moderate y 2 Low
• Ya están disponibles las versiones corregidas React 19.0.6/19.1.7/19.2.6 y Next.js 15.5.16/16.2.5, y también es necesario actualizar los frameworks de servidor basados en React
• Algunas vulnerabilidades no pueden bloquearse con defensas a nivel de red como WAF, por lo que es indispensable aplicar parches en el propio código de la aplicación
• Las vulnerabilidades están distribuidas en amplias áreas funcionales de Next.js, como Server Components, Pages Router e Image Optimization API, por lo que el alcance del impacto es amplio

Paquetes afectados y versiones con parche

• Objetivos de parche relacionados con React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — cada uno debe actualizarse a las versiones 19.0.6, 19.1.7, 19.2.6
• Objetivos de parche de Next.js: 15.5.16 y 16.2.5
• Si usas frameworks de servidor basados en React como Vinext, OpenNext o TanStack Start, también debes actualizar ese framework a la versión más reciente

Vulnerabilidades de severidad High (6)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — denegación de servicio (DoS) en React Server Components
  • Vulnerabilidad que afecta tanto a React como a Next.js
• GHSA-267c-6grr-h53f — evasión de middleware mediante la ruta segment-prefetch
• GHSA-mg66-mrh9-m8jx — denegación de servicio mediante agotamiento de conexiones (connection exhaustion) en Cache Components
• GHSA-492v-c6pp-mqqv — evasión de middleware mediante inyección de parámetros en rutas dinámicas
  • No puede bloquearse de forma segura con reglas WAF y puede romper el funcionamiento de la aplicación
• GHSA-c4j6-fc7j-m34r — SSRF (Server-Side Request Forgery) mediante WebSocket upgrade
  • No puede bloquearse de forma segura con reglas WAF
• GHSA-36qx-fr4f-26g5 — evasión de middleware en Pages Router i18n

Vulnerabilidades de severidad Moderate (4)

• GHSA-ffhc-5mcf-pf4q — XSS mediante CSP nonce
• GHSA-gx5p-jg67-6x7h — XSS en scripts beforeInteractive
• GHSA-h64f-5h5j-jqjh — denegación de servicio en Image Optimization API
• GHSA-wfc6-r584-vfw7 — cache poisoning en respuestas RSC

Vulnerabilidades de severidad Low (2)

• GHSA-vfv6-92ff-j949 — cache poisoning mediante colisión de cache busting en RSC
• GHSA-3g8h-86w9-wvmq — cache poisoning en redirecciones de middleware

Posibilidad de bloqueo con WAF

• Las vulnerabilidades que pueden bloquearse a nivel de red (WAF) están limitadas a una parte de la familia DoS, y las reglas existentes para el CVE de React Server Component también aplican a la nueva vulnerabilidad DoS
• Muchas vulnerabilidades High, como evasión de middleware, SSRF y XSS, no pueden bloquearse de forma segura con WAF, por lo que aplicar parches al código de la aplicación es la única respuesta posible
• Hay elementos que pueden mitigarse con reglas WAF personalizadas, pero aplicarlas como reglas managed globales implica el riesgo de romper el funcionamiento de la aplicación

Impacto según el adaptador del framework

• Vinext: como su arquitectura difiere de la de Next.js base, no es vulnerable a los CVE publicados
  • No implementa el protocolo PPR resume, no expone endpoints data-route de Pages Router y elimina encabezados internos como x-nextjs-data en el límite de la solicitud
  • Como defensa adicional, vinext init ahora exige React 19.2.6 o superior
• OpenNext: el adaptador en sí no es directamente vulnerable, pero el usuario debe actualizar manualmente la versión de Next.js de su aplicación
  • Ya se lanzó una nueva versión con refuerzos adicionales en el adaptador