Faille DoS de criticité élevée dans React et Next.js
Une vulnérabilité de déni de service de criticité élevée affecte React et Next.js.
Publié le par Emmanuel LASTRA 1 min de lecture
Une vulnérabilité de déni de service (CVSS 7.5) dans les React Server Components a été publiée le 8 avril 2026 par Meta (CVE-2026-23869 / GHSA-479c-33wc-g2pg). Elle affecte les packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack dans les versions 19.0.0 à 19.0.4, 19.1.0 à 19.1.5 et 19.2.0 à 19.2.4. L’envoi de requêtes HTTP spécialement conçues vers des endpoints de Server Functions peut entraîner une consommation CPU excessive pendant près d’une minute, provoquant un déni de service.
La faille impacte notamment les applications utilisant l’App Router de Next.js (versions 13.x à 16.x).
Des correctifs ont été publiés dans les versions React 19.0.5, 19.1.6 et 19.2.5 des packages concernés, ainsi que dans les versions Next.js 15.5.15 et 16.2.3. Vercel a déployé des règles de mitigation via son WAF (Web Application Firewall) pour protéger ses utilisateurs, mais il reste recommandé de procéder à une mise à jour immédiate.