← UppdateringarOfficiell release på GitHub ↗
// release
v16.2.5Säkerhet6 maj 2026
Säkerhetsuppdatering: 12 advisories patchade
Adresserar samma set av 12 säkerhetsadvisories som v16.2.6, inklusive denial-of-service-attacker mot Server Components och Cache Components, middleware-bypasses och XSS-sårbarheter. Uppdatera till v16.2.6 för fullständig patchning.
Säkerhetsproblem som åtgärdats
- GHSA-8h8q-6873-q5fj: Denial-of-service mot Server Components.
- GHSA-267c-6grr-h53f: Middleware-bypass via segment-prefetch i App Router.
- GHSA-mg66-mrh9-m8jx: Connection exhaustion mot Cache Components.
- GHSA-492v-c6pp-mqqv: Middleware-bypass via route parameter injection.
- GHSA-c4j6-fc7j-m34r: SSRF i WebSocket-upgradeapplikationer.
- GHSA-36qx-fr4f-26g5: Middleware-bypass i Pages Router med i18n.
- GHSA-ffhc-5mcf-pf4q: XSS i App Router med CSP nonces.
- GHSA-gx5p-jg67-6x7h: XSS i beforeInteractive-skript.
- GHSA-h64f-5h5j-jqjh: DoS mot Image Optimization API.
- GHSA-wfc6-r584-vfw7: Cache poisoning via RSC-svar.
- GHSA-vfv6-92ff-j949: Cache poisoning via RSC cache-bust.
- GHSA-3g8h-86w9-wvmq: Cache poisoning av middleware-redirects.
Vad innebär det för utvecklare?
v16.2.5 och v16.2.6 täcker samma advisories men v16.2.6 innehåller fler buggfixar. Om du har uppdaterat till 16.2.5 är du skyddad mot dessa CVE:er, men det rekommenderas att gå vidare till 16.2.6 eller senaste stabil version.