CVE-2026-23864 摘要:React Server Components 多项高危漏洞修复与缓解
2 分钟阅读
2026 年 1 月 26 日
Link to heading摘要
React Server Components 中披露了多项高危漏洞,且均通过负责任披露流程上报。需要特别说明的是,这些漏洞不支持 Remote Code Execution。
我们已制定新规则来应对此类漏洞,并已部署到 Vercel WAF,可为所有托管在 Vercel 的项目提供免费自动防护。但请勿将 WAF 作为完整防护方案,仍需立即升级到包含补丁的版本。
Link to heading影响
Link to headingReact CVE-2026-23864 (CVSS 7.5)
CVE-2026-23864 涉及 React Server Components 中的多项拒绝服务漏洞。攻击者可向 Server Function 端点发送特制 HTTP 请求触发漏洞,进而导致服务器崩溃、内存耗尽异常或 CPU 使用率异常升高;具体影响取决于被触发的漏洞代码路径、应用配置以及应用代码本身。
以下包的 19.0.x、19.1.x 和 19.2.x 版本存在这些漏洞:
-
react-server-dom-parcel -
react-server-dom-webpack -
react-server-dom-turbopack
这些包被包含在以下框架和打包工具中:
-
Next.js:13.x、14.x、15.x 和 16.x。
-
其他内嵌或依赖 React Server Components 实现的框架与插件(例如 Vite、Parcel、React Router、RedwoodSDK、Waku)
Link to heading处置方案
在制定该漏洞缓解措施后,我们已将其部署到全球分布式平台,为客户提供防护。我们仍建议升级到最新的已修复版本。
React 及受影响下游框架的更新版本已包含修复,可防止该问题。所有用户都应尽快升级到已打补丁的版本。
Link to heading修复版本
-
React: 19.0.4、19.1.5、19.2.4。
-
Next.js: 15.0.8、15.1.12、15.2.9、15.3.9、15.4.11、15.5.10、15.6.0-canary.61、16.0.11、16.1.5、16.2.0-canary.9
使用上述相关包的框架与打包工具,应安装其维护者提供的最新版本。
Link to heading致谢
感谢来自 Winfunc Research 的 Mufeed VH、Joachim Viide、来自 GMO Flatt Security 的 RyotaK,以及腾讯安全云鼎实验室的 Xiangwei Zhang 进行负责任披露。
