Next.js May 2026 security release
요약
Next.js 팀은 DoS, 미들웨어/프록시 우회, SSRF, 캐시 오염, XSS 등 총 13가지 보안 취약점을 다루는 통합 보안 릴리스를 배포했습니다. 이 업데이트에는 특히 React Server Components(RSC)의 취약점(CVE-2026-23870)에 대한 패치가 포함되어 있으며, 모든 영향을 받는 사용자는 즉시 최신 버전으로 업그레이드해야 합니다. Vercel은 WAF 규칙을 추가하지 않았으므로, 개발자가 프레임워크와 빌더를 직접 업데이트하는 것이 필수적입니다.
핵심 포인트
- 13가지 보안 패치 포함: DoS, SSRF, 캐시 오염, XSS 등 광범위한 취약점 해결.
- React Server Components(RSC)의 주요 취약점 (CVE-2026-23870)에 대한 수정 버전이 제공되므로 즉각적인 업그레이드가 필수적입니다.
- 미들웨어 및 프록시 관련 보안 문제들이 다수 포함되어 있어, 해당 기능을 사용하는 애플리케이션은 특히 주의해야 합니다.
- Vercel의 WAF 레이어만으로는 보호가 불가능하므로, 개발자는 반드시 최신 버전으로 직접 업그레이드해야 합니다.
요약
우리는 Denial of service, middleware 와 proxy bypass, server-side request forgery, cache poisoning, 그리고 cross-site scripting 을 다루는 13 개의 보안 패치를 포함하는 Next.js 의 통합 보안 릴리스를 배포했습니다.
하나의 패치는 . CVE-2026-23870 으로 추적되는 React Server Components 취약점을 다룹니다. React 와 Next.js 모두에 수정된 버전이 제공되며, 모두 즉시 업그레이드해야 합니다.
영향받는 사용자
다음과 같은 보안 패치들이 적용됩니다:
- middleware.js: 인증 및 권한 부여를 의존하는 애플리케이션을 대상으로 합니다.
- proxy.js: Server Functions, Cache Components 와 Partial Prerendering 을 사용하는 애플리케이션을 대상으로 하며, Image Optimization API 를 사용하는 애플리케이션도 영향을 받습니다. WebSocket upgrade 요청을 처리하는 애플리케이션도 영향을 받습니다. React Server Component 응답 앞에 캐싱 레이어가 있는 애플리케이션도 영향을 받습니다. App Router 에서 CSP nonces 를 사용하거나, 신뢰할 수 없는 입력을 소비하는 스크립트를 사용하는 애플리케이션도 영향을 받습니다.
beforeInteractive
이 취약점들은 React 와 Next.js 의 수정된 릴리스로 해결됩니다. 패칭은 유일한 완전한 완화 방법이며, 모두 즉시 업그레이드해야 합니다.
영향받는 사용자
Vercel 은 이 릴리스에 새로운 WAF 규칙을 배포하지 않았습니다. 따라서 WAF 레이어에서 신뢰할 수 있게 차단할 수 없습니다. 프레임워크 및 버들러는 해당 유지보수자가 제공하는 최신 버전을 설치해야 합니다.
react-server-dom-*
더 읽기
권장 행동
- Middleware 와 proxy bypass: Denial of service, Server-side request forgery, Cache poisoning, Cross-site scripting
영향
해결 방법
영향받는 버전
수정됨
참조
: High
Auth bypass via App Router segment-prefetch URL
: High
App Router segment-prefetch bypass, incomplete fix follow-up
: High
Pages Router i18n default-locale path bypasses proxy authorization
: High
Bypass via dynamic route parameter injection
: Low
Middleware redirects can be cache-poisoned
: (tracked upstream as )
High
DoS in React Server Components
CVE-2026-23870
: High
DoS via connection exhaustion in applications using Cache Components
: Moderate
DoS via the Image Optimization API
: High
SSRF in applications using WebSocket upgrades
: Moderate
Cache poisoning in React Server Component responses
: Low
Cache poisoning via collisions in RSC cache-busting
: Moderate
XSS in App Router applications using CSP nonces
: Moderate
XSS in beforeInteractive scripts with untrusted input
: , Next.js 15.5.18, 16.2.6
: , , for the , and packages
React 19.0.6, 19.1.7, 19.2.6
react-server-dom-parcel, react-server-dom-webpack, react-server
-dom-turbopack Upstream React advisory (CVE-2026-23870) Package Affected Upgrade to , Next.js 13.x 14.x all versions or 15.5.18 16.2.6 Next.js 15.x <=15.5.17 15.5.18 Next.js 16.x <=16.2.5 16.2.6 react-server-dom-* 19.0.x <=19.0.5 19.0.6 react-server-dom-* 19.1.x <=19.1.6 19.1.7 react-server-dom-* 19.2.x <=19.2.5 19.2.6
AI 자동 생성 콘텐츠
본 콘텐츠는 Vercel AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기