Next.js Rilis Update Keamanan Mei 2026, 13 Celah Kerentanan Ditambal Sekaligus
Tim Next.js di bawah naungan Vercel merilis pembaruan keamanan penting pada Mei 2026 yang menargetkan 13 advisori sekaligus. Rilis ini mencakup perbaikan pada berbagai jenis kerentanan, mulai dari denial of service (DoS), middleware dan proxy bypass, server-side request forgery (SSRF), cache poisoning, hingga cross-site scripting (XSS). Salah satu isu yang disorot adalah kerentanan di React Server Components yang terdaftar sebagai CVE-2026-23870.
Dalam pengumuman resmi, Vercel menegaskan bahwa versi tambalan telah tersedia baik untuk React maupun Next.js, dan seluruh pengguna yang terdampak sangat disarankan untuk segera melakukan upgrade. Rilis ini secara khusus menargetkan aplikasi yang menggunakan middleware.js atau proxy.js untuk otorisasi, memanfaatkan Server Functions, Partial Prerendering dengan Cache Components, WebSocket upgrade, hingga aplikasi yang mengandalkan CSP nonces dan skrip beforeInteractive dengan input tidak tepercaya.
Di area middleware dan proxy bypass, beberapa isu berlabel tingkat keparahan tinggi diperbaiki, termasuk bypass otorisasi melalui URL segment-prefetch di App Router, perbaikan lanjutan atas bypass sebelumnya yang belum tuntas, bypass pada Pages Router dengan konfigurasi i18n tertentu, serta injeksi parameter route dinamis yang bisa melewati lapisan otorisasi. Selain itu, terdapat kerentanan berlevel rendah di mana pengalihan (redirect) pada middleware dapat dimanipulasi melalui cache poisoning.
Untuk kategori denial of service, pembaruan ini menutup celah DoS di React Server Components (CVE-2026-23870), serangan kehabisan koneksi pada aplikasi yang menggunakan Cache Components, dan serangan DoS melalui Image Optimization API. Sementara itu, pada sisi server-side request forgery, Vercel mengungkap kerentanan berlevel tinggi yang memengaruhi aplikasi yang menangani permintaan upgrade WebSocket.
Di lapisan caching, dua kerentanan cache poisoning direspons: satu dengan tingkat sedang yang terkait respons React Server Components, dan satu lagi berlevel rendah yang memanfaatkan kolisi pada mekanisme cache-busting RSC. Di ranah cross-site scripting, pembaruan ini memperbaiki XSS pada aplikasi App Router yang menggunakan CSP nonces, serta skenario di mana skrip beforeInteractive mengonsumsi input tidak tepercaya.
Vercel menekankan bahwa satu-satunya mitigasi komprehensif adalah melakukan patching ke versi yang telah diperbaiki. Perusahaan secara eksplisit menyatakan tidak menambahkan aturan baru pada Web Application Firewall (WAF) untuk rilis ini, karena pola serangan yang terlibat tidak dapat diblokir secara andal di lapisan WAF saja. Dengan kata lain, mengandalkan firewall tanpa upgrade framework tidak cukup untuk menutup risiko ini.
Dalam tabel versi terdampak, Next.js 13.x dan 14.x dinyatakan rentan pada semua versi, dengan rekomendasi upgrade ke 15.5.18 atau 16.2.6. Untuk Next.js 15.x, seluruh versi hingga 15.5.17 wajib diperbarui ke 15.5.18, sementara Next.js 16.x hingga 16.2.5 harus naik ke 16.2.6. Di sisi React, paket react-server-dom-* pada rangkaian versi 19.0.x, 19.1.x, dan 19.2.x masing-masing perlu diupgrade ke 19.0.6, 19.1.7, dan 19.2.6. Framework dan bundler yang mengandalkan paket tersebut didorong untuk segera mengadopsi versi terbaru dari maintainer masing-masing.
Dari sudut pandang redaksional, rilis ini menegaskan dua hal penting bagi ekosistem JavaScript modern. Pertama, kompleksitas fitur seperti React Server Components, App Router, caching berlapis, serta middleware yang fleksibel memang mempercepat pengembangan dan meningkatkan performa, namun sekaligus memperluas permukaan serangan. Ketika lapisan-lapisan ini saling berinteraksi—dengan i18n, proxy, WebSocket, hingga Image Optimization—satu kesalahan kecil dalam asumsi atau validasi bisa mengubah diri menjadi vektor serangan serius.
Kedua, rilis ini menjadi pengingat bahwa keamanan aplikasi web saat ini tidak lagi cukup diserahkan pada konfigurasi server, WAF, atau library terpisah. Framework seperti Next.js dan React kini menjadi bagian inti dari rantai keamanan, sehingga kebijakan patch management dan observabilitas harus memasukkan “update framework” sebagai aktivitas rutin yang tak kalah penting dibanding memperbarui sistem operasi atau database.
Bagi tim engineering dan security di perusahaan, pesan praktisnya jelas: cek versi Next.js dan React yang digunakan, bandingkan dengan daftar versi terdampak, lalu jadwalkan upgrade segera, terutama bagi aplikasi yang memanfaatkan middleware untuk otorisasi, WebSocket, RSC, caching agresif, dan Image Optimization API. Mengingat sifat kerentanan yang menyentuh otorisasi, availability, dan integritas konten, menunda patch berarti menerima risiko yang tidak perlu di lingkungan produksi.