React और Next.js में कई security vulnerabilities सार्वजनिक, तुरंत patch की सिफारिश

• React टीम और Vercel ने React Server Components और Next.js को प्रभावित करने वाली 12 security vulnerabilities एक साथ सार्वजनिक की हैं, और applications को तुरंत update करने की कड़ी सिफारिश की है
• इनमें denial of service (DoS), middleware bypass, SSRF, XSS, cache poisoning जैसे कई attack vectors शामिल हैं, और इन्हें 6 High, 4 Moderate, 2 Low severity के रूप में वर्गीकृत किया गया है
• patch versions के रूप में React 19.0.6/19.1.7/19.2.6 और Next.js 15.5.16/16.2.5 जारी किए गए हैं, और React-आधारित server frameworks को भी साथ में update करना आवश्यक है
• कुछ vulnerabilities को WAF जैसी network-level defenses से block नहीं किया जा सकता, इसलिए application code पर patch लगाना अनिवार्य है
• vulnerabilities Next.js के व्यापक feature areas जैसे Server Components, Pages Router, Image Optimization API आदि में फैली हुई हैं, इसलिए प्रभाव का दायरा बड़ा है

प्रभावित packages और patch versions

• React से संबंधित patch targets: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — इन्हें क्रमशः 19.0.6, 19.1.7, 19.2.6 versions में update करना आवश्यक है
• Next.js patch targets: 15.5.16 और 16.2.5
• Vinext, OpenNext, TanStack Start जैसे React-आधारित server frameworks का उपयोग करने पर उन frameworks को भी latest version में साथ में update करना आवश्यक है

High severity vulnerabilities (6)

• CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components में denial of service (DoS)
  • यह vulnerability React और Next.js दोनों को प्रभावित करती है
• GHSA-267c-6grr-h53f — segment-prefetch route के जरिए middleware bypass
• GHSA-mg66-mrh9-m8jx — Cache Components में connection exhaustion के जरिए denial of service
• GHSA-492v-c6pp-mqqv — dynamic route parameter injection के जरिए middleware bypass
  • इसे WAF rules से सुरक्षित रूप से block नहीं किया जा सकता, और इससे application behavior टूट सकता है
• GHSA-c4j6-fc7j-m34r — WebSocket upgrade के जरिए SSRF (server-side request forgery)
  • इसे WAF rules से सुरक्षित रूप से block नहीं किया जा सकता
• GHSA-36qx-fr4f-26g5 — Pages Router i18n में middleware bypass

Moderate severity vulnerabilities (4)

• GHSA-ffhc-5mcf-pf4q — CSP nonce के जरिए XSS
• GHSA-gx5p-jg67-6x7h — beforeInteractive script में XSS
• GHSA-h64f-5h5j-jqjh — Image Optimization API में denial of service
• GHSA-wfc6-r584-vfw7 — RSC response में cache poisoning

Low severity vulnerabilities (2)

• GHSA-vfv6-92ff-j949 — RSC cache-busting collision के जरिए cache poisoning
• GHSA-3g8h-86w9-wvmq — middleware redirect cache poisoning

WAF block की संभावना

• network level (WAF) पर block की जा सकने वाली vulnerabilities केवल कुछ DoS प्रकारों तक सीमित हैं, और मौजूदा React Server Component CVE mitigation rules नए DoS vulnerabilities पर भी लागू होते हैं
• middleware bypass, SSRF, XSS जैसी कई High severity vulnerabilities को WAF से सुरक्षित रूप से block नहीं किया जा सकता, इसलिए application code patch करना ही एकमात्र उपाय है
• कुछ items पर custom WAF rules से निपटना संभव है, लेकिन global managed rules के रूप में लागू करने पर application behavior टूटने का जोखिम मौजूद है

framework adapters के अनुसार प्रभाव

• Vinext: इसका architecture standard Next.js से अलग है, इसलिए यह सार्वजनिक किए गए CVEs के प्रति vulnerable नहीं है
  • PPR resume protocol लागू नहीं है, Pages Router data-route endpoint expose नहीं होता, और x-nextjs-data जैसे internal headers को request boundary पर हटा दिया जाता है
  • अतिरिक्त सुरक्षा के तौर पर vinext init को React 19.2.6 या उससे ऊपर की version अनिवार्य करने के लिए बदला गया है
• OpenNext: adapter स्वयं सीधे vulnerable नहीं है, लेकिन users को application की Next.js version को सीधे update करना होगा
  • adapter को अतिरिक्त रूप से मजबूत करने वाला नया version release किया जा चुका है