Login Inscreva-se
4 min de leitura

Next.js Patch de Segurança: 13 Vulnerabilidades Corrigidas – Atualização Urgente Recomendada

Compartilhar
Next.js Patch de Segurança: 13 Vulnerabilidades Corrigidas – Atualização Urgente Recomendada

Em um único release, 13 vulnerabilidades foram corrigidas — incluindo bypass de autenticação, DoS, SSRF, cache poisoning e XSS. Se você usa Next.js, sua aplicação está exposta agora mesmo. A única mitigação é atualizar imediatamente.

O que realmente aconteceu?

Em 26 de maio de 2026, a Vercel publicou patches coordenados para Next.js e React Server Components. As versões corrigidas são:

  • Next.js 15.5.18 (linha 15.x)
  • Next.js 16.2.6 (linha 16.x)
  • React server-dom packages 19.0.6, 19.1.7 e 19.2.6

O advisory mais preocupante é o bypass de autorização em middleware e proxy, que afeta tanto o App Router quanto o Pages Router. Um invasor pode contornar completamente as verificações de autenticação que você colocou no middleware e acessar rotas que deveriam ser protegidas.

Além disso, o CVE-2026-23870 foi atribuído a uma vulnerabilidade upstream nos React Server Components, afetando todos os usuários de React 19 em Next.js. Esse CVE permite DoS remoto sem autenticação.

Por que isso é crítico? (E não há WAF que resolva)

“Não há regras de WAF ou outros mecanismos de detecção capazes de mitigar estas vulnerabilidades.” — Vercel

Os ataques exploram comportamentos internos do runtime do Next.js — não padrões de tráfego HTTP. Um bypass de middleware não é um "ataque" no sentido clássico; é uma falha na lógica de autorização que qualquer requisição maliciosa pode acionar.

Para equipes que confiam no middleware como principal barreira de segurança (roteamento de autenticação, validação de tokens, etc.), esta é uma falha catastrófica. O invasor não precisa de exploits complexos: apenas uma requisição bem construída.

⚠️ Atenção: WAF, firewalls e proxies não bloqueiam essas vulnerabilidades. A única mitigação é atualizar os pacotes.

Detalhamento técnico das vulnerabilidades

🔴 Bypass de autenticação – Alta severidade (4 advisories + 1 baixa)

  • Middleware no App Router: contorna completamente a lógica de autorização baseada em middleware.
  • Pages Router: falha similar, permitindo acesso a páginas protegidas sem autenticação.
  • Proxy interno: ignorado durante o tratamento de requisições a rotas estáticas.

Impacto direto: qualquer página que depende de middleware.ts para bloquear acesso não autorizado pode ser acessada sem validação.

🔴 DoS via React Server Components (CVE-2026-23870)

Manipulação de estado em Server Components que leva a loops infinitos ou consumo excessivo de memória no servidor. Uma única requisição HTTP pode derrubar a instância.

🔴 DoS por exaustão de conexão (Cache Components)

Componentes que utilizam cache podem ser induzidos a manter conexões abertas indefinidamente, esgotando o pool de conexões do servidor.

🔴 SSRF via WebSocket

O manipulador de upgrades WebSocket em Next.js não valida corretamente o destino da conexão, permitindo que um invasor force o servidor a realizar requisições a recursos internos (bancos de dados, serviços internos, cloud metadata endpoints).

🔴 Cache Poisoning

Respostas de React Server Components podem ser corrompidas no cache, servindo conteúdo malicioso para usuários legítimos.

🔴 XSS via Nonces CSP e Scripts beforeInteractive

Se sua aplicação utiliza scripts carregados com beforeInteractive e recebe input não sanitizado, um invasor pode injetar JavaScript executado no lado do cliente, contornando a proteção CSP via nonces mal geradas.

Observação: Algumas vulnerabilidades exigem configurações específicas (ex.: WebSocket) para exploração, mas a superfície de ataque total é ampla — qualquer app Next.js com middleware está em risco.

Implicações para o mercado e para DevOps

Empresas com Next.js em produção

Prioridade absoluta: agende a atualização para o próximo janela de manutenção. Dado que o bypass de middleware compromete a camada central de segurança, qualquer atraso é um risco direto de violação de dados.

Impacto na percepção da Vercel

Por um lado, a transparência e rapidez na correção são pontos positivos — a Vercel demonstra maturidade em segurança. Por outro, a frequência de releases de segurança pode gerar instabilidade percebida. Em longo prazo, um ecossistema que responde rápido a falhas é mais confiável que um que as esconde.

Adoção do Next.js

Equipes que avaliam o framework podem ver essa enxurrada de CVEs como sinal de maturidade do código ou como um fardo operacional. No entanto, a clareza da Vercel (nenhuma mitigação alternativa) força uma cultura de patch rápido, que é saudável para qualquer stack.

Riscos e limitações da mitigação

  • Patching pode introduzir regressões. Teste exaustivamente, especialmente se você usa middleware complexo ou integrações com WebSocket.
  • Atraso na atualização = exposição ativa. Ataques automatizados já estão sendo observados nos primeiros dias pós-release.
  • WAF é inútil aqui. Não se iluda configurando regras de bloqueio; a única saída é trocar o binário.

Resumo prático: Atualize para as versões corrigidas imediatamente. Teste em staging e coloque em produção nas próximas 48 horas. Nenhuma outra medida substitui o patch.

Visão Metatron: O futuro da segurança em frameworks reativos

O release de maio de 2026 marca um ponto de inflexão na maturidade de segurança do ecossistema Next.js.

  1. Middleware como superfície crítica: A camada de autorização baseada em runtime não pode ser tratada como "camada fina" — ela precisa ser auditada como um componente de segurança crítico, com fuzzing e testes de penetração dedicados.
  2. Server Components = novo vetor de ataque: O CVE-2026-23870 mostra que a execução de lógica no servidor via React Server Components abre uma nova classe de vulnerabilidades que antes eram exclusivas de backends tradicionais. Cada Server Component é um endpoint e deve ser tratado como tal.
  3. Cultura de patching imediato: Em 2026, frameworks que não oferecem janelas de segurança previsíveis e canais de comunicação de emergência serão preteridos. A Vercel acertou em cheio — mas a responsabilidade de aplicar o patch é nossa.

Mensagem final: A atualização não é opcional. Se você usa Next.js, este release define uma linha entre estar seguro e estar comprometido.

Versões corrigidas e comandos de atualização

Pacote Versão corrigida
Next.js (linha 15) 15.5.18
Next.js (linha 16) 16.2.6
react-server-dom-webpack (React 19) 19.0.6, 19.1.7, 19.2.6 
npm install next@15.5.18 react-server-dom-webpack@19.1.7
# ou, para a linha 16
npm install next@16.2.6 react-server-dom-webpack@19.2.6

Nenhuma outra medida substitui o patch. Atualize agora, teste em staging e coloque em produção nas próximas 48 horas.

Published by:

Guilherme Zanini de Sá