¡Hola Devs! Esto Es Crítico

En mayo de 2026, Vercel publicó una actualización de seguridad crítica para Next.js, abordando 13 avisos en múltiples vectores de ataque. Si estás ejecutando cualquier versión de Next.js (App Router o Pages Router), necesitas actualizar inmediatamente. El lanzamiento también incluye una corrección upstream para React Server Components (rastreada como CVE-2026-23870), que puede causar denegación de servicio por agotamiento de conexión.

Esto no es solo un parche de rutina — algunas vulnerabilidades permiten bypass de autorización en capas de middleware y proxy, lo que significa que un atacante podría acceder a rutas protegidas sin credenciales adecuadas. Otras permiten envenenamiento de caché de respuestas de React Server Components, lo que podría servir contenido malicioso a tus usuarios.

En resumen: Parchear es la única mitigación completa. Las reglas de WAF no pueden bloquear estos ataques de forma confiable. ¡Vamos a darle!

Developer reviewing Next.js security advisory dashboard on laptop Coding Session Visual

Desglose de Vulnerabilidades

1. Bypass de Middleware y Proxy (Alta Severidad)

Dos problemas separados afectan aplicaciones que dependen de middleware.js o proxy.js para autorización:

  • Bypass de segment-prefetch en App Router — corrección incompleta de un aviso anterior, ahora completamente parcheada.
  • Bypass de ruta de locale predeterminado en Pages Router — los atacantes pueden eludir la autorización del proxy manipulando prefijos de locale.
// Ejemplo: patrón de middleware vulnerable (NO USES)
export function middleware(request) {
  const token = request.cookies.get('auth_token');
  if (!token) {
    // Esta verificación puede ser eludida vía segment-prefetch
    return NextResponse.redirect('/login');
  }
  return NextResponse.next();
}

2. Denegación de Servicio (Alta y Moderada)

Se corrigieron tres vectores de DoS:

  • CVE-2026-23870 (Alta): React Server Components pueden agotarse por solicitudes maliciosas.
  • Cache Components DoS (Alta): Agotamiento de conexión vía Partial Prerendering con Cache Components.
  • Image Optimization API DoS (Moderada): Agotamiento de recursos vía solicitudes de imagen malformadas.

3. Server-Side Request Forgery (SSRF)

Las aplicaciones que manejan solicitudes de actualización WebSocket son vulnerables a SSRF — un atacante puede hacer que el servidor envíe solicitudes a servicios internos.

4. Envenenamiento de Caché

Si tienes una capa de caché (ej.: CDN) frente a las respuestas de React Server Components, los atacantes pueden envenenar la caché con payloads maliciosos.

5. Cross-Site Scripting (XSS)

Las aplicaciones que usan nonces de CSP en App Router, o scripts beforeInteractive que consumen entrada no confiable, están en riesgo.

Server rack with warning lights indicating denial of service vulnerability Dev Environment Setup

Mitigación y Ruta de Actualización

Versiones Corregidas

PaqueteVersión Corregida
React (server-dom-*)19.0.6, 19.1.7, 19.2.6
Next.js14.2.x, 15.x (último parche)

Comandos de Actualización

# Actualizar paquetes React
npm install react@19.2.6 react-dom@19.2.6

# Actualizar Next.js
npm install next@latest

# Verificar versiones
npx next --version

Notas Importantes

  • No se implementaron reglas de WAF para este lanzamiento — el parche es obligatorio.
  • Los frameworks que usan paquetes react-server-dom-* deben actualizar a través de sus respectivos mantenedores.
  • Si usas proxy.js para autorización, revisa tu lógica después de actualizar.

Limitaciones y Cuidados

  • La corrección del bypass de middleware puede requerir cambios de configuración si dependías del comportamiento anterior (incompleto).
  • La mitigación de envenenamiento de caché asume que tienes control sobre la configuración de tu CDN — verifica las configuraciones de invalidación de caché.
  • La corrección de SSRF solo se aplica a rutas de actualización WebSocket; otros vectores de SSRF en tu aplicación no son abordados por este parche.

Web application firewall configuration screen with middleware bypass fix Developer Related Image

Próximos Pasos y Ruta de Aprendizaje

  1. Actualiza inmediatamente — ejecuta los comandos anteriores en todos los entornos.
  2. Audita tu middleware — asegúrate de que la lógica de autorización no se vea afectada por los patrones de bypass.
  3. Revisa el caché del CDN — si almacenas en caché respuestas de RSC, implementa claves de caché y validación adecuadas.
  4. Monitorea regresiones — prueba tu aplicación completamente después de la actualización.

Para una comprensión más profunda de los patrones modernos de renderizado y seguridad, echa un vistazo a nuestra guía sobre NVIDIA DLSS 4.5 Deep Dive Next-Gen AI Upscaling, Dynamic Frame Gen, and the Evolving Developer Toolkit y explora cómo las optimizaciones a nivel de hardware complementan la seguridad del software.

Lectura Recomendada

Fuente: Vercel Changelog: Next.js May 2026 Security Release

Este contenido fue redactado con la asistencia de herramientas de IA, basándose en fuentes confiables, y fue revisado por nuestro equipo editorial antes de su publicación. No reemplaza el asesoramiento de un profesional especializado.