Por Que Isso É Importante

Em maio de 2026, a Vercel publicou uma atualização crítica de segurança para o Next.js, abordando 13 avisos em múltiplos vetores de ataque. Se você está rodando qualquer versão do Next.js (App Router ou Pages Router), precisa atualizar imediatamente. O lançamento também inclui uma correção upstream para React Server Components (rastreada como CVE-2026-23870), que pode causar negação de serviço via exaustão de conexão.

Isso não é apenas um patch de rotina — algumas vulnerabilidades permitem bypass de autorização em camadas de middleware e proxy, significando que um atacante pode acessar rotas protegidas sem credenciais adequadas. Outras permitem envenenamento de cache de respostas de React Server Components, o que pode servir conteúdo malicioso para seus usuários.

Conclusão: A correção é a única mitigação completa. Regras de WAF não conseguem bloquear esses ataques de forma confiável.

Developer reviewing Next.js security advisory dashboard on laptop Development Concept Image

Detalhamento das Vulnerabilidades

1. Bypass de Middleware e Proxy (Alta Severidade)

Dois problemas separados afetam aplicações que dependem de middleware.js ou proxy.js para autorização:

  • Bypass de segment-prefetch no App Router — correção incompleta de um aviso anterior, agora totalmente corrigida.
  • Bypass de caminho de locale padrão no Pages Router — atacantes podem contornar a autorização do proxy manipulando prefixos de locale.
// Exemplo: padrão de middleware vulnerável (NÃO USE)
export function middleware(request) {
  const token = request.cookies.get('auth_token');
  if (!token) {
    // Esta verificação pode ser contornada via segment-prefetch
    return NextResponse.redirect('/login');
  }
  return NextResponse.next();
}

2. Negação de Serviço (Alta e Moderada)

Três vetores de DoS foram corrigidos:

  • CVE-2026-23870 (Alta): React Server Components podem ser exauridos por requisições maliciosas.
  • Cache Components DoS (Alta): Exaustão de conexão via Partial Prerendering com Cache Components.
  • Image Optimization API DoS (Moderada): Exaustão de recursos via requisições de imagem malformadas.

3. Server-Side Request Forgery (SSRF)

Aplicações que lidam com requisições de upgrade WebSocket estão vulneráveis a SSRF — um atacante pode fazer o servidor enviar requisições para serviços internos.

4. Envenenamento de Cache

Se você tem uma camada de cache (ex.: CDN) na frente de respostas de React Server Components, atacantes podem envenenar o cache com payloads maliciosos.

5. Cross-Site Scripting (XSS)

Aplicações usando nonces de CSP no App Router, ou scripts beforeInteractive que consomem entrada não confiável, estão em risco.

Server rack with warning lights indicating denial of service vulnerability Coding Session Visual

Mitigação e Caminho de Atualização

Versões Corrigidas

PacoteVersão Corrigida
React (server-dom-*)19.0.6, 19.1.7, 19.2.6
Next.js14.2.x, 15.x (último patch)

Comandos de Atualização

# Atualizar pacotes React
npm install react@19.2.6 react-dom@19.2.6

# Atualizar Next.js
npm install next@latest

# Verificar versões
npx next --version

Notas Importantes

  • Nenhuma regra de WAF foi implantada para este lançamento — a correção é obrigatória.
  • Frameworks que usam pacotes react-server-dom-* devem atualizar através de seus respectivos mantenedores.
  • Se você usa proxy.js para autorização, revise sua lógica após a atualização.

Limitações e Cuidados

  • A correção do bypass de middleware pode exigir mudanças de configuração se você dependia do comportamento anterior (incompleto).
  • A mitigação de envenenamento de cache assume que você tem controle sobre a configuração do seu CDN — verifique as configurações de invalidação de cache.
  • A correção de SSRF se aplica apenas a caminhos de upgrade WebSocket; outros vetores de SSRF em sua aplicação não são abordados por este patch.

Web application firewall configuration screen with middleware bypass fix Algorithm Concept Visual

Próximos Passos e Roteiro de Aprendizado

  1. Atualize imediatamente — execute os comandos acima em todos os ambientes.
  2. Audite seu middleware — garanta que a lógica de autorização não seja afetada pelos padrões de bypass.
  3. Revise o cache do CDN — se você armazena em cache respostas de RSC, implemente chaves de cache e validação adequadas.
  4. Monitore regressões — teste sua aplicação completamente após a atualização.

Para um entendimento mais profundo de padrões modernos de renderização e segurança, confira nosso guia sobre NVIDIA DLSS 4.5 Deep Dive Next-Gen AI Upscaling, Dynamic Frame Gen, and the Evolving Developer Toolkit e explore como otimizações em nível de hardware complementam a segurança de software.

Leitura Recomendada

Fonte: Vercel Changelog: Next.js May 2026 Security Release

Este conteúdo foi elaborado com o auxílio de ferramentas de IA, com base em fontes confiáveis, e revisado pela nossa equipe editorial antes da publicação. Não substitui o aconselhamento de um profissional especializado.