Lỗ hổng CVE trong Next.js và React Server Components vừa được Vercel công bố trong một loạt security advisory, bao gồm các vấn đề denial-of-service, middleware bypass, server-side request forgery và cross-site scripting. Các lỗi này ảnh hưởng đến Next.js từ 13.x đến 16.x khi sử dụng App Router, đồng thời tác động đến gói React Server Components phiên bản 19.x.
CVE nghiêm trọng trong Next.js App Router
Vulnerability được theo dõi là CVE-2026-23870, thuộc nhóm lỗ hổng CVE mức nghiêm trọng cao, ảnh hưởng đến React Server Components packages 19.x và toàn bộ các triển khai Next.js App Router trên các phiên bản 13.x, 14.x, 15.x, 16.x. Thông tin tham chiếu có thể đối chiếu thêm tại NVD.
Lỗi này cho phép một HTTP request được tạo đặc biệt gửi đến bất kỳ App Router Server Function endpoint nào. Khi dữ liệu được deserialize, request có thể gây tiêu thụ CPU bất thường, dẫn tới denial-of-service trên môi trường chưa được vá.
Nguyên nhân kỹ thuật
Vấn đề nằm trong logic deserialize của giao thức React “Flight”. Cơ chế này không áp đặt đầy đủ ràng buộc về cấu trúc hoặc kiểu dữ liệu trên payload đầu vào, khiến request crafted có thể làm tăng tải xử lý vượt mức bình thường.
Middleware bypass trong App Router
Ba advisory riêng biệt gồm GHSA-267c-6grr-h53f, GHSA-26hh-7cqf-hhc6 và GHSA-492v-c6pp-mqqv xử lý các lỗi middleware bypass trong ứng dụng App Router. Đây là nhóm cảnh báo CVE liên quan trực tiếp đến cơ chế kiểm soát truy cập ở tầng middleware.
Các URL .rsc và segment-prefetch được tạo đặc biệt có thể trỏ đến cùng một trang nhưng không bị khớp bởi rule middleware dự kiến. Hệ quả là nội dung được bảo vệ có thể bị truy cập mà không qua bước kiểm tra quyền hợp lệ.
Bản sửa lỗi đã bổ sung các biến thể transport của App Router vào quá trình tạo middleware matcher, giúp áp dụng kiểm soát middleware nhất quán cho mọi kiểu request, bao gồm cả các biến thể prefetch.
Biện pháp giảm thiểu tạm thời
Cho đến khi nâng cấp được hệ thống, nên thực thi kiểm tra authorization trực tiếp trong route hoặc page logic thay vì chỉ dựa vào middleware. Điều này giảm nguy cơ bảo mật khi matcher bị bỏ qua ở một số luồng request.
Server-side request forgery qua WebSocket upgrade
Lỗ hổng được theo dõi là CVE-2026-44578, đi kèm advisory GHSA-c4j6-fc7j-m34r. Đây là một lỗ hổng CVE mức cao cho phép server-side request forgery thông qua các WebSocket upgrade request được tạo thủ công trên triển khai Node.js tự host.
Thông qua request này, kẻ tấn công có thể khiến server proxy tới đích nội bộ hoặc bên ngoài tùy ý. Kịch bản này đặc biệt nguy hiểm trong môi trường cloud-native vì có thể làm lộ internal services hoặc cloud metadata endpoints.
Các deployment do Vercel host được ghi rõ là không bị ảnh hưởng. Bản vá áp dụng các kiểm tra an toàn tương tự như cơ chế đã dùng cho HTTP request tiêu chuẩn, nhưng mở rộng sang xử lý WebSocket upgrade.
Middleware bypass với Pages Router và i18n
CVE-2026-44573, tương ứng với GHSA-36qx-fr4f-26g5, ảnh hưởng đến ứng dụng dùng Pages Router kết hợp i18n và cơ chế authorization dựa trên middleware. Đây tiếp tục là một lỗ hổng CVE liên quan đến việc bỏ qua kiểm soát truy cập.
Các request dạng locale-less /_next/data/<buildId>/<page>.json có thể bypass middleware hoàn toàn. Điều đó cho phép attacker lấy JSON render phía server của trang được bảo vệ mà không qua bước xác thực quyền truy cập.
Matcher logic đã được cập nhật để áp dụng đồng nhất trên cả route data có prefix và không có prefix, giảm khả năng hệ thống bị xâm nhập qua đường data route.
Các lỗi mức vừa và thấp khác
Bên cạnh các lỗi nghiêm trọng, Vercel cũng vá nhiều vấn đề mức vừa và thấp trong cùng đợt. Danh sách này bao gồm cross-site scripting trong App Router dùng CSP nonce, XSS trong beforeInteractive scripts với input không tin cậy, lỗi denial-of-service trong Image Optimization API, và các lỗi cache poisoning trong phản hồi React Server Components.
Những advisory liên quan gồm GHSA-ffhc-5mcf-pf4q, GHSA-gx5p-jg67-6x7h, GHSA-h64f-5h5j-jqjh, GHSA-wfc6-r584-vfw7, GHSA-vfv6-92ff-j949. Ngoài ra còn có connection exhaustion DoS trong Cache Components theo GHSA-mg66-mrh9-m8jx và cache poisoning của middleware redirects theo GHSA-3g8h-86w9-wvmq.
Ảnh hưởng hệ thống và phạm vi rủi ro
Các lỗi trong đợt lỗ hổng CVE này chủ yếu ảnh hưởng đến ba nhóm thành phần: App Router, Pages Router và React Server Components. Tùy từng advisory, tác động có thể là remote code execution ở mức logic ứng dụng, denial-of-service, middleware bypass, truy cập trái phép dữ liệu hoặc rò rỉ dữ liệu nhạy cảm thông qua response cache.
Với môi trường self-hosted, rủi ro bảo mật tăng cao nếu hệ thống cho phép outbound request rộng hoặc không kiểm soát WebSocket upgrade ở lớp reverse proxy. Trong các triển khai dùng middleware để chặn truy cập, việc không áp dụng kiểm tra ngay trong route/page logic có thể tạo ra điểm hở đáng kể.
Khuyến nghị xử lý và cập nhật bản vá
Đơn vị vận hành chạy các phiên bản Next.js bị ảnh hưởng nên cập nhật bản vá ngay khi có thể. Đây là biện pháp chính để giảm nguy cơ bảo mật và tránh tình trạng hệ thống bị tấn công qua các request crafted.
Mitigation tạm thời
- Thực thi authorization trực tiếp trong route hoặc page logic.
- Chặn WebSocket upgrades ở reverse proxy hoặc load balancer.
- Giới hạn server egress chỉ tới các mạng nội bộ đã biết.
- Không phụ thuộc hoàn toàn vào middleware để bảo vệ nội dung nhạy cảm.
Tài liệu tham chiếu
Các advisory chính có thể tra cứu trực tiếp trên GitHub Security Advisory của Next.js tại trang security advisories của Next.js.
Đợt cảnh báo CVE này cho thấy các thành phần routing, middleware và server component trong Next.js đều có thể trở thành điểm tấn công nếu không được cập nhật bản vá kịp thời. Việc kiểm tra quyền truy cập tại tầng logic ứng dụng và kiểm soát request path cần được áp dụng đồng thời để giảm rủi ro bảo mật.
