Sicherheitslücken in Next.js und React Server Components geschlossen

Umgehung separate Sicherheitswarnungen (GHSA-267c-6grr-h53f, GHSA-26hh-7cqf-hhc6 und GHSA-492v-c6pp-mqqv) behandeln Schwachstellen zur Umgehung der Middleware in App-Router-Anwendungen. Speziell konstruierte.rsc- und segment-prefetch-URLs können auf dieselbe Seite auflösen, ohne zu werden, wodurch geschützter Inhalt ohne ordnungsgemäße Autorisierungsprüfungen zugänglich wird.

Die Lösung berücksichtigt nun auch App-Router-Transport-Varianten bei der Generierung, sodass Middleware-Schutzmaßnahmen konsistent auf alle Anforderungsarten – einschließlich Prefetch-Varianten – angewendet werden. Bis ein Upgrade möglich ist, sollten Entwickler die Autorisierung direkt in der zugrunde liegenden Routen- oder Seitenlogik erzwingen und sich nicht ausschließlich auf die Middleware verlassen.

CVE-2026-44578: Server-Side Request Forgery (SSRF) über angefertigte WebSocket-Upgrade-Anfragen Dieser als CVE-2026-44578 verzeichnete und unter GHSA-c4j6-fc7j-m34r geführte Schwachstellen mit hoher Schwere ermöglicht Server-Side Request Forgery (SSRF) durch speziell konstruierte WebSocket-Upgrade-Anfragen in selbst gehosteten Node.js-Installationen.

Ein Angreifer kann den Server dazu

Ein Angreifer kann den Server dazu manipulieren, Anfragen an beliebige interne oder externe Ziele zu proxen, was potenziell den Zugriff auf interne Dienste oder Cloud-Metadaten-Endpunkte ermöglicht – eine besonders gefährliche Situation in cloud-nativen Umgebungen. Vercel-hostete Installationen sind ausdrücklich als unbeeinflusst gekennzeichnet.

Die Behebung wendet dieselben Sicherheitsprüfungen auf die Verarbeitung, die bereits für Standard-HTTP-Anfragen existierten. CVE-2026-44573: Umgehung des i18n-Middleware im Pages Router CVE-2026-44573 (GHSA-36qx-fr4f-26g5) betrifft Anwendungen, die den Pages Router verwenden und dabei i18n zusammen mit einer Middleware-basierten Autorisierung konfiguriert haben.

Anfragen ohne Locale an die Endpunkte /_next/data/.json umgehen Middleware vollständig, wodurch Angreifer serverseitig generiertes JSON für geschützte Seiten abrufen können, ohne Autorisierungsprüfungen zu bestehen. Die Logik für die Routenabgleichung wurde aktualisiert, um eine konsistente Zuordnung sowohl für vorangestellte als auch für nicht vorangestellte Datenrouten sicherzustellen.

Neben den Schwachstellen hoher Schweregrad hat

Neben den Schwachstellen hoher Schweregrad hat Vercel zudem mehrere Probleme mittlerer und niedriger Schweregrad behoben.

Dazu gehören Cross-Site-Scripting-Schwachstellen in App-Router-Anwendungen, die CSP-Nonces verwenden (GHSA-ffhc-5mcf-pf4q), sowie in beforeInteractive-Skripten bei Verwendung ürdigen Eingaben (GHSA-gx5p-jg67-6 ×7h), ein Denial-of-Service-Fehler in der Image Optimization API (GHSA-h64f-5h5j-jqjh) sowie Cache-Vergiftungsprobleme in React Server Component-Antworten (GHSA-wfc6-r584-vfw7, GHSA-vfv6-92ff-j949).

Eine Verbindungsauslastungs-bedingte Denial-of-Service-Schwachstelle in Cache-Komponenten (GHSA-mg66-mrh9-m8jx) sowie Cache-Vergiftung bei Middleware-Umleitungen (GHSA-3g8h-86w9-wvmq) runden die Sicherheitsmitteilung ab. Organisationen, die sind, sollten ein sofortiges Upgrade priorisieren.

Moegliche Anwendungen

Für Teams, die sich nicht sofort aufrüsten können, umfassen die empfohlenen vorübergehenden Schutzmaßnahmen die Durchsetzung Routen- oder Seitenlogik anstelle des alleinigen Verlaufs auf Middleware, das Blockieren ängen auf der Ebene des Reverse Proxies oder des Lastverteilungssystems sowie die Einschränkung des Serverausgangs auf bekannte interne Netzwerke.

Cyberkriminelle dringen nun über Ihre Lieferanten statt über Ihre Haustür ein – Kostenfreies Webinar. Der Beitrag „Mehrere kritische Schwachstellen in Next.js und React Server Components gepatcht" erschien erstmals auf Cyber Security News.