CVE-2026-44576

Nome do Software Vulnerável e Versões Afetadas Next.js versões 14.2.0 a 15.5.15 Next.js versões 16.0.0 a 16.2.4

Descrição Aplicações que utilizam React Server Components (RSC) estão suscetíveis a envenenamento de cache (cache poisoning) quando caches compartilhadas não particionam corretamente as variantes de resposta. Um invasor pode manipular o sistema para que uma resposta RSC seja servida a partir da URL original, envenenando as entradas do cache compartilhado. Consequentemente, visitantes posteriores recebem payloads de componentes em vez do HTML esperado. Isso ocorre devido à validação e interpretação inconsistentes dos cabeçalhos de requisição RSC durante a classificação e renderização da requisição.

Recomendações Atualize para a versão 15.5.16. Atualize para a versão 16.2.5. Certifique-se de que o CDN ou proxy reverso utilize chaves nos cabeçalhos de requisição RSC relevantes e respeite o Vary. Desative o cache compartilhado para as respostas afetadas do App Router e RSC.