← UppdateringarOfficiell release på GitHub ↗
// release
v16.2.6Säkerhet7 maj 2026
Säkerhetsuppdatering med 13 patchade advisories
En dedikerad säkerhetsrelease som adresserar 7 high-severity, 4 moderate och 2 low-severity advisories. Problemen rör denial-of-service-attacker mot Server Components och Cache Components, middleware-bypass via segment-prefetch-routes samt XSS-sårbarheter.
Säkerhetsproblem som åtgärdats
- High: Denial-of-service mot Server Components via specialkonstruerade requests.
- High: Middleware/proxy-bypass via segment-prefetch-routes i App Router.
- High: Connection exhaustion-attack mot Cache Components.
- High: Dynamic route parameter injection som möjliggjorde middleware-bypass.
- High: Server-side request forgery i applikationer med WebSocket-uppgraderingar.
- High: Middleware/proxy-bypass i Pages Router med i18n-konfiguration.
- Moderate: Cross-site scripting i App Router med CSP nonces.
- Moderate: XSS i beforeInteractive-skript med opålitlig input.
- Moderate: Denial-of-service mot Image Optimization API.
- Moderate: Cache poisoning via React Server Component-svar.
- Low: Cache-kollisions-baserad poisoning i RSC-cachebust-mekanismen.
- Low: Cache poisoning av middleware-redirects.
Vad innebär det för utvecklare?
v16.2.6 är den rekommenderade versionen jämfört med v16.2.5 (dagen innan) eftersom den innehåller ytterligare backportade buggfixar utöver säkerhetspatcharna. Uppdatera inte till 16.2.5 och stanna -- gå direkt till 16.2.6 eller senaste 16.2.x.
Vad innebär det för verksamheter?
Flera av sårbarheterna är exploateringsbara av externa aktörer utan autentisering. DoS-attackerna mot Server Components och Cache Components kan slå ut en produktionssajt. Den här uppdateringen är kritisk för alla som kör Next.js i produktion.