Plataforma
nodejs
Componente
react-server-dom-parcel
Corrigido em
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.0.5
Uma vulnerabilidade de Negação de Serviço (DoS) foi identificada em react-server-dom-parcel, afetando as versões 19.0.0, 19.1.0 e 19.2.0. O problema é desencadeado por requisições HTTP especialmente criadas enviadas para Server Function endpoints, resultando em consumo excessivo de CPU e, eventualmente, em um erro. A atualização imediata para a versão 19.0.5 é recomendada para resolver esta vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante cause uma negação de serviço (DoS) no sistema que executa react-server-dom-parcel. Ao enviar requisições HTTP maliciosas, o atacante pode sobrecarregar a CPU do servidor por até um minuto, tornando o serviço indisponível para usuários legítimos. Embora a vulnerabilidade resulte em um erro que pode ser capturado, o impacto imediato é a interrupção do serviço e a potencial perda de dados ou funcionalidade. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta o seu potencial de impacto, permitindo que atacantes externos a explorem sem a necessidade de credenciais.
Esta vulnerabilidade foi divulgada em 2026-04-10. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV da CISA no momento da redação. A existência de um proof-of-concept público é desconhecida. A vulnerabilidade afeta aplicações que utilizam Server Function endpoints em react-server-dom-parcel.
Applications utilizing React Server Components and relying on the vulnerable react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack packages are at risk. This includes projects using modern React development workflows and those deploying Server Functions to handle backend logic. Specifically, teams with limited resources or those running applications on shared hosting environments are particularly vulnerable due to the potential for resource exhaustion.
• nodejs / server: Monitor CPU utilization on servers running react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Look for sustained high CPU usage without corresponding user activity.
top -n 1 | grep -E 'react-server-dom-parcel|react-server-dom-turbopack|react-server-dom-webpack'• nodejs / server: Examine application logs for errors related to excessive CPU usage or exceptions thrown within Server Function endpoints.
grep -i 'cpu usage|server function error' /var/log/app/application.log• generic web: Monitor HTTP request patterns to Server Function endpoints for unusual activity, such as a sudden surge in requests from a single IP address.
curl -v <server_function_endpoint> # Examine request/response headers for anomaliesdisclosure
Status do Exploit
EPSS
0.42% (percentil 62%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 19.0.5 ou superior de react-server-dom-parcel. Se a atualização imediata não for possível, considere implementar medidas de proteção temporárias, como a limitação de taxa (rate limiting) nas requisições HTTP para Server Function endpoints. Firewalls de aplicação web (WAFs) podem ser configurados para detectar e bloquear requisições suspeitas. Monitore de perto o uso da CPU do servidor para identificar possíveis ataques DoS. Após a atualização, confirme a resolução da vulnerabilidade verificando se as requisições maliciosas não mais causam o consumo excessivo de CPU.
Atualize o pacote react-server-dom-turbopack para a versão 19.2.5 ou superior para mitigar a vulnerabilidade de negação de serviço. Esta atualização aborda o problema ao prevenir o uso excessivo da CPU causado por requisições HTTP especialmente projetadas. Certifique-se de testar exaustivamente seu aplicativo após a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23869 is a denial-of-service vulnerability affecting react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. It allows attackers to cause excessive CPU usage through crafted HTTP requests.
You are affected if you are using versions 19.0.0 through 19.2.0 of react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack in your React Server Components application.
Upgrade to version 19.0.5 or later of react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Consider rate limiting and WAF rules as temporary mitigations.
While no active exploitation has been confirmed, the ease of crafting malicious requests suggests a potential for rapid exploitation.
Refer to the official React security advisory for details and updates: [https://react.dev/security](https://react.dev/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.