Plateforme
nodejs
Composant
react-server-dom-parcel
Corrigé dans
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.0.5
Une vulnérabilité de type déni de service (DoS) affecte certains packages React Server Components, ainsi que les frameworks qui les utilisent, notamment Next.js dans ses versions 13.x, 14.x, 15.x et 16.x utilisant le App Router. Cette vulnérabilité, traquée en amont sous CVE-2026-23869, permet à un attaquant d'exploiter une requête HTTP spécialement conçue pour provoquer une utilisation excessive du CPU. La correction est disponible dans la version 15.5.15.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de provoquer un déni de service sur les serveurs hébergeant des applications Next.js utilisant le App Router. En envoyant une requête HTTP malveillante à un endpoint de Server Function, l'attaquant peut déclencher une consommation excessive de ressources CPU, rendant l'application inaccessible ou considérablement ralentissant ses performances. L'impact peut se traduire par une indisponibilité du service, une dégradation de l'expérience utilisateur et potentiellement des pertes financières si l'application est critique pour l'activité de l'entreprise. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée à distance sans nécessiter d'authentification.
Cette vulnérabilité a été publiée le 2026-04-10. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (DoS via une requête HTTP simple) la rend potentiellement accessible à un large éventail d'attaquants. La vulnérabilité est référencée sur le GitHub Security Advisories. La probabilité d'exploitation est considérée comme moyenne en raison de la facilité potentielle d'exploitation et de la large surface d'attaque.
Applications utilizing React Server Components and relying on the vulnerable react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack packages are at risk. This includes projects using modern React development workflows and those deploying Server Functions to handle backend logic. Specifically, teams with limited resources or those running applications on shared hosting environments are particularly vulnerable due to the potential for resource exhaustion.
• nodejs / server: Monitor CPU utilization on servers running react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Look for sustained high CPU usage without corresponding user activity.
top -n 1 | grep -E 'react-server-dom-parcel|react-server-dom-turbopack|react-server-dom-webpack'• nodejs / server: Examine application logs for errors related to excessive CPU usage or exceptions thrown within Server Function endpoints.
grep -i 'cpu usage|server function error' /var/log/app/application.log• generic web: Monitor HTTP request patterns to Server Function endpoints for unusual activity, such as a sudden surge in requests from a single IP address.
curl -v <server_function_endpoint> # Examine request/response headers for anomaliesdisclosure
Statut de l'Exploit
EPSS
0.42% (percentile 62%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Next.js vers la version 15.5.15 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement les requêtes HTTP entrantes vers les Server Functions et de mettre en place des mécanismes de limitation de débit (rate limiting) pour atténuer le risque d'une attaque DoS. L'utilisation d'un Web Application Firewall (WAF) peut également aider à filtrer les requêtes malveillantes. Vérifiez après la mise à jour que les Server Functions fonctionnent correctement et qu'il n'y a pas de dégradation des performances.
Mettez à jour le package react-server-dom-turbopack à la version 19.2.5 ou supérieure pour atténuer la vulnérabilité de déni de service. Cette mise à jour résout le problème en empêchant l'utilisation excessive du CPU causée par des requêtes HTTP spécialement conçues. Assurez-vous de tester minutieusement votre application après la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23869 est une vulnérabilité de déni de service (DoS) affectant les packages React Server Components et Next.js versions 13.x, 14.x, 15.x et 16.x utilisant le App Router. Une requête HTTP malveillante peut provoquer une consommation excessive du CPU.
Vous êtes affecté si vous utilisez Next.js versions 13.x, 14.x, 15.x ou 16.x avec le App Router et que vous n'avez pas mis à jour vers la version 15.5.15 ou supérieure.
La solution est de mettre à jour Next.js vers la version 15.5.15 ou supérieure. En attendant, mettez en place des mécanismes de limitation de débit et utilisez un WAF.
À ce jour, il n'y a pas d'indication d'une exploitation active, mais la vulnérabilité est potentiellement accessible à un large éventail d'attaquants.
Vous pouvez trouver l'avis officiel sur le GitHub Security Advisories : [https://github.com/facebook/react/security/advisories/GHSA-479c-33wc-g2pg](https://github.com/facebook/react/security/advisories/GHSA-479c-33wc-g2pg)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.