平台
nodejs
组件
react-server-dom-parcel
修复版本
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.2.5
19.0.5
CVE-2026-23869 描述了 react-server-dom-parcel 中的拒绝服务 (DoS) 漏洞。攻击者可以通过发送精心构造的 HTTP 请求来触发此漏洞,导致 Server Function 端点出现过高的 CPU 占用率,最终导致服务中断。此漏洞影响 react-server-dom-parcel 的 19.0.0、19.1.0 和 19.2.0 版本,建议立即升级。
攻击者利用此漏洞发送特制的 HTTP 请求,可以导致受影响的 react-server-dom-parcel 应用程序的 Server Function 端点出现持续的 CPU 占用率峰值,持续时间长达一分钟。这种高负载会耗尽服务器资源,导致应用程序响应缓慢甚至完全崩溃,从而造成拒绝服务。由于该漏洞涉及 Server Function,攻击者可能能够影响整个应用程序的可用性,特别是如果 Server Function 负责关键业务逻辑。此漏洞的潜在影响包括服务中断、数据不可用以及用户体验下降。虽然描述中提到错误是可捕获的,但持续的 CPU 占用仍然会造成严重影响。
目前没有公开的漏洞利用程序 (PoC),但该漏洞已公开披露。CISA 尚未将其添加到 KEV 目录中。由于其拒绝服务性质,该漏洞的 EPSS 得分可能为中等,表明存在被利用的可能性。建议密切关注安全社区的动态,以获取有关此漏洞的更多信息。
Applications utilizing React Server Components and relying on the vulnerable react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack packages are at risk. This includes projects using modern React development workflows and those deploying Server Functions to handle backend logic. Specifically, teams with limited resources or those running applications on shared hosting environments are particularly vulnerable due to the potential for resource exhaustion.
• nodejs / server: Monitor CPU utilization on servers running react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Look for sustained high CPU usage without corresponding user activity.
top -n 1 | grep -E 'react-server-dom-parcel|react-server-dom-turbopack|react-server-dom-webpack'• nodejs / server: Examine application logs for errors related to excessive CPU usage or exceptions thrown within Server Function endpoints.
grep -i 'cpu usage|server function error' /var/log/app/application.log• generic web: Monitor HTTP request patterns to Server Function endpoints for unusual activity, such as a sudden surge in requests from a single IP address.
curl -v <server_function_endpoint> # Examine request/response headers for anomaliesdisclosure
漏洞利用状态
EPSS
0.42% (62% 百分位)
CISA SSVC
解决 CVE-2026-23869 的主要方法是立即升级 react-server-dom-parcel 到 19.0.5 或更高版本。如果升级导致应用程序出现问题,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以考虑使用 Web 应用程序防火墙 (WAF) 或反向代理来过滤掉潜在的恶意 HTTP 请求,从而减轻攻击风险。虽然没有提供具体的 WAF 规则,但可以尝试阻止包含异常模式或已知攻击负载的请求。升级后,请验证应用程序是否正常运行,并检查 CPU 占用率是否恢复到正常水平。
将 react-server-dom-turbopack 软件包更新到 19.2.5 或更高版本以缓解拒绝服务漏洞。此更新通过防止由精心设计的 HTTP 请求引起的 CPU 过度使用来解决此问题。 确保在更新后全面测试您的应用程序。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23869 是 react-server-dom-parcel 19.0.0-19.2.0 版本中的拒绝服务漏洞,攻击者可以通过特制 HTTP 请求导致 CPU 占用率过高,从而造成服务中断。
如果您正在使用 react-server-dom-parcel 的 19.0.0、19.1.0 或 19.2.0 版本,则可能受到影响。请立即升级。
升级到 react-server-dom-parcel 19.0.5 或更高版本以修复此漏洞。
目前尚未确认 CVE-2026-23869 正在被积极利用,但由于漏洞已公开披露,存在被利用的风险。
请查阅 react 官方安全公告或相关安全社区的报告以获取更多信息。
CVSS 向量