Vercel深夜警报:一个CVSS 7.5漏洞如何让你的Next.js站点集体宕机
Site Owner
发布于 2026-04-19
Vercel披露高危漏洞CVE-2026-23869,影响Next.js 13-16所有App Router版本。攻击者可通过对Server Function端点发送畸形请求触发DoS。Vercel WAF已自动拦截,但官方明确警告不要依赖WAF,务必升级到Next.js 15.5.15或16.2.3。
Vercel深夜警报:一个CVSS 7.5漏洞如何让你的Next.js站点集体宕机
凌晨3点,监控面板一片红。
你的Next.js站点集体响应超时,用户投诉邮件涌进来,on-call的开发被叫醒。然后你发现:攻击者什么都没干,只是发了一串畸形HTTP请求。
这就是CVE-2026-23869。
漏洞是什么
Vercel上周悄悄发了一条Changelog,藏了一个高危漏洞通告。
CVSS评分7.5(高危),影响所有使用App Router的Next.js版本——13.x、14.x、15.x、16.x。攻击面是任何App Router Server Function端点。攻击方式很简单:发一个精心构造的HTTP请求,反序列化之后触发CPU狂转,直接把你的服务打瘫。
不需要登录态,不需要特殊权限,甚至不需要找到具体功能——只要是个Server Function endpoint就行。
这是典型的DoS(拒绝服务)漏洞,但杀伤力超出常规:它利用的是React Server Components的反序列化机制,而这项特性在Next.js默认开启。
Vercel做了什么
好消息是Vercel已经有动作了。
他们给Vercel WAF(Web应用防火墙)加了新规则,所有托管在Vercel上的项目自动生效,不需要你做任何配置。这是他们标准的安全响应流程——先在边缘层拦截,同时推进上游修复。
坏消息是:别把宝押在WAF上。
Vercel自己在通告里写了"do not rely on the WAF for full protection",要求用户"Immediate upgrade to a patched version"。
这不是谦虚,这是认真的。
怎么修
官方已经发布补丁版本:
- Next.js 15.x → 升级到 15.5.15
- Next.js 16.x → 升级到 16.2.3
低于15的版本?官方建议直接升级到上述补丁版本,别在老版本上等补丁了。
如果你暂时没法升级,至少确保Vercel WAF规则处于开启状态——好消息是它默认就开着,不需要你动。
更大的问题
这个漏洞值得关注的另一个原因:Next.js 16已经出来了。
我查了一下,官方通告里提到16.x也在受影响范围内。但说实话,16正式 release也才没多久,这么快就有CVE,说实话有点难堪。
React Server Components是Next.js App Router的核心特性,也是这两年Next.js最大的架构升级。但每次大的架构变更,带来的攻击面扩张往往被低估。RSC的server端执行模型比传统SSR更复杂,反序列化又是天然的高风险操作——这两个东西碰到一起,出漏洞几乎是时间问题。
你现在该做什么
- 检查你的Next.js版本,如果不是15.5.15或16.2.3,今天就升
- 确认WAF开着(Vercel默认开启,但最好检查一下)
- 关注Next.js的安全公告,特别是如果你用到了Server Functions
如果你的项目还在用13或14,漏洞影响的不只是安全问题——Vercel已经停止对13.x的维护了,继续跑等于同时承担安全和维护风险。
一句话: 别等到凌晨3点才发现自己被打了,今天升级。
素材来源:Vercel Changelog - Summary of CVE-2026-23869 https://vercel.com/changelog/summary-of-cve-2026-23869