CVE-2026-23870

Nome do Software Vulnerável e Versões Afetadas react-server-dom-webpack versões 19.0.0 a 19.0.5 react-server-dom-webpack versões 19.1.0 a 19.1.6 react-server-dom-webpack versões 19.2.0 a 19.2.5 react-server-dom-parcel versões 19.0.0 a 19.0.5 react-server-dom-parcel versões 19.1.0 a 19.1.6 react-server-dom-parcel versões 19.2.0 a 19.2.5 react-server-dom-turbopack versões 19.0.0 a 19.0.5 react-server-dom-turbopack versões 19.1.0 a 19.1.6 react-server-dom-turbopack versões 19.2.0 a 19.2.5 Next.js versões anteriores a 15.5.16 Next.js versões anteriores a 16.2.5

Description Um problema de negação de serviço existe nos React Server Components que permite a um invasor desativar uma aplicação web através do esgotamento de recursos do servidor. Isso é desencadeado pelo envio de requisições HTTP especialmente manipuladas para endpoints de funções do servidor, o que pode levar a falhas no servidor, exceções de falta de memória ou uso excessivo de CPU. A exploração requer uma configuração arquitetural específica.

Recommendations Atualize o react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack para as versões 19.0.6, 19.1.7 ou 19.2.6. Atualize o Next.js para a versão 15.5.16 ou 16.2.5.