← UppdateringarOfficiell release på GitHub ↗
// release
v16.1.7Säkerhet16 mars 2026
Fem CVE:er patchade, inklusive request smuggling
Adresserar fem säkerhetssårbarheter: blockering av cross-site dev-websockets, begränsning av serveraction-inlämningar från privacykänsliga contexts, request smuggling via http-proxy-beroendet och ytterligare två CVE:er relaterade till Cache Components och bildoptimering.
CVE:er som åtgärdats
- CVE-2026-27977: Blockering av cross-site dev-only websocket-anslutningar från privacykänsliga origins.
- CVE-2026-27978: Serveraction-inlämningar begränsade från privacykänsliga contexts som standard.
- CVE-2026-27979: maxPostponedStateSize-parametern tillämpas nu korrekt i Cache Components.
- CVE-2026-27980: Sårbarhet i bildoptimeringens caching löst via LRU-diskcache.
- CVE-2026-29057: http-proxy patchat för att förhindra request smuggling i rewrites.
Vad innebär det för utvecklare?
CVE-2026-29057 (request smuggling via http-proxy) är den allvarligaste. Med den kan en angripare injicera oauktoriserade HTTP-requests via Next.js rewrites. Om du kör v16.1.x bör du uppdatera till 16.1.7 omedelbart, alternativt hoppa till v16.2.x.
Vad innebär det för verksamheter?
Request smuggling kan användas för att kringgå åtkomstkontroller och manipulera cachat innehåll. Det är en kritisk sårbarhet för applikationer med autentisering och känslig data bakom rewrites.