CVE-2026-23869 : faille DoS corrigée dans Next.js
Le 1er juin 2026, Vercel a publié un résumé de sécurité pour la CVE-2026-23869, une vulnérabilité de déni de service découverte dans les React Server Components. Next.js 16.2.7 est la version corrective — si vous êtes en production sur une version 13.x à 16.x, la mise à jour est urgente.
La vulnérabilité en détail
La CVE-2026-23869 affecte le mécanisme de sérialisation des réponses React Server Components dans Next.js. Une requête HTTP spécialement construite, contenant des structures de données cycliques, peut déclencher une boucle de sérialisation côté serveur qui consomme le CPU de manière excessive pendant environ une minute.
Deux points aggravent la situation :
- Aucune authentification requise. N'importe quel acteur ayant accès à l'endpoint peut déclencher l'attaque.
- L'impact est cumulatif. Des requêtes répétées à fréquence modérée suffisent à saturer un serveur avec des workers limités.
La vulnérabilité a été notée CVSS 7.5 (élevé), ce qui la place dans la catégorie des failles à corriger sans délai pour les applications exposées publiquement.
Versions affectées
| Branche | Versions affectées | Version corrective |
|---|---|---|
| Next.js 13.x | 13.0.0 → 13.x.x | – (pas de backport) |
| Next.js 14.x | 14.0.0 → 14.x.x | – (pas de backport) |
| Next.js 15.x | 15.0.0 → 15.x.x | – (pas de backport) |
| Next.js 16.x | 16.0.0 → 16.2.6 | 16.2.7 |
Pour les branches 13, 14 et 15, le correctif n'a pas été backporté. Si vous êtes sur l'une de ces versions, la migration vers 16.2.7 est le seul chemin.
La correction au niveau de React est disponible à partir de React 19.2.5 (inclus dans 19.2.7 publiée le même jour).
Ce que contient Next.js 16.2.7
Au-delà du correctif CVE, Next.js 16.2.7 est une release LTS de stabilité qui embarque plusieurs corrections :
- Gestion de FormData en Server Actions — régression corrigée : les entrées de formulaire n'étaient plus transmises correctement lors de soumissions impliquant Server Actions.
- Améliorations Turbopack — plusieurs correctifs de stabilité sur le compilateur incrémental.
- Corrections styled-jsx — déduplication des assets CSS en sortie de build.
- Condition de concurrence — correction d'un race condition lors de l'hydratation de composants suspendus.
Ces corrections font de 16.2.7 la version LTS à utiliser, indépendamment de l'aspect sécurité.
React 19.2.7 / 19.1.8 / 19.0.7
En parallèle, l'équipe React a publié simultanément trois versions patch sur les branches maintenues :
- 19.2.7, 19.1.8 et 19.0.7 — chacune corrige la même régression : lors de soumissions de formulaires via Server Actions, les valeurs
FormDataétaient perdues avant transmission. Ce bug avait été introduit dans les versions précédentes. Les trois branches ont reçu le correctif en parallèle, ce qui est inhabituel mais reflète l'impact du bug en production.
Actions recommandées
Si vous êtes sur Next.js 16.x :
npm install next@16.2.7 react@19.2.7 react-dom@19.2.7
Si vous êtes sur Next.js 13, 14 ou 15 : La migration vers 16.x est le seul chemin pour bénéficier du correctif de sécurité. Vérifiez les notes de migration dans la documentation Next.js avant de commencer.
Variables d'environnement Vercel : Si vous déployez sur Vercel, la plateforme a mis en place des protections côté infrastructure pour atténuer les exploitations via CDN. Cela ne dispense pas de mettre à jour votre version.
Lecture globale
La semaine du 1er juin aura vu une rare convergence : deux correctifs React critiques publiés le même jour (CVE côté Next.js, régression FormData côté React). Le fait que trois branches maintenues de React aient été patchées simultanément suggère une pression interne pour sortir rapidement — ce qui confirme l'urgence réelle de la régression FormData pour les applications de formulaires en production.