Next.js получил крупный security-релиз
В майском обновлении закрыли сразу 13 уязвимостей, включая SSRF, cache poisoning, XSS, обход middleware/proxy и проблемы с отказом в обслуживании. Отдельно выделяется CVE в React Server Components, что особенно неприятно на фоне активного продвижения серверной архитектуры.
Для полной защиты необходимо обновляться до Next.js 15.5.18 / 16.2.6 и актуальных патч-версий React. В данном случае внешние меры вроде WAF не закрывают проблему — только прямое обновление зависимостей.
В майском обновлении закрыли сразу 13 уязвимостей, включая SSRF, cache poisoning, XSS, обход middleware/proxy и проблемы с отказом в обслуживании. Отдельно выделяется CVE в React Server Components, что особенно неприятно на фоне активного продвижения серверной архитектуры.
Для полной защиты необходимо обновляться до Next.js 15.5.18 / 16.2.6 и актуальных патч-версий React. В данном случае внешние меры вроде WAF не закрывают проблему — только прямое обновление зависимостей.
