Next.js: Der Sicherheits-GAU

Eine neue Welle der Panik erfasste die Entwicklergemeinschaft nach einer deutlichen Ankündigung von Vercel: 13 neue Common Vulnerabilities and Exposures (CVEs) betrafen gleichzeitig Next.js und React. Diese beispiellose Sicherheitsveröffentlichung, die im Changelog vom Mai 2026 detailliert beschrieben wird, setzte sofort unzählige Produktionsanwendungen einem Risiko aus. Das schiere Ausmaß der Mängel veranlasste prominente Stimmen, wie den Better Stack channel, zu erklären: „I'm Done With NextJS...“, was eine weit verbreitete Frustration unter Entwicklern signalisierte.

Schweregrade zeichneten ein düsteres Bild; sechs dieser Schwachstellen erhielten 'hohe' Schweregrad-Klassifikationen, die dringende Aufmerksamkeit erforderten. Kritische Mängel umfassten mehrere Denial of Service-Vektoren, schwerwiegende Server-Side Request Forgery (SSRF)-Exploits – einige als höchste Schweregrad eingestuft – und verschiedene Cross-Site Scripting (XSS)-Möglichkeiten. Dies waren keine theoretischen Schwächen, sondern konkrete Wege für Angreifer, Benutzerdaten zu kompromittieren, Denial of Services zu deaktivieren und Sicherheitsmaßnahmen zu umgehen.

Die Auswirkungen dieser CVEs erstreckten sich über mehrere aktuelle Next.js-Versionen, wodurch sofortige Upgrades für praktisch jedes aktive Projekt unerlässlich wurden. Patches behandelten Probleme, die von Middleware-Bypässen, wie der i18n-Schwachstelle mit einem Schweregrad von 7,5/10 im Pages Router, die server-side props offenlegte, bis hin zu Cache Poisoning und anderen heimtückischen Problemen reichten. Vercels Lösung war klar: Alle Next.js-Installationen unverzüglich aktualisieren, um die Exposition zu mindern.

Diese jüngste Sicherheitsbombe entfacht eine hartnäckige, beunruhigende Debatte innerhalb des React-Ökosystems neu: Waren Server Components ein Fehler? Viele der kritischen Schwachstellen, insbesondere die Denial of Service-Angriffe mit einem Schweregrad von 7,5/10, stammen direkt vom React Flight Protocol, dem zugrunde liegenden Serialisierungsformat für Server Components. Dies markiert die dritte bedeutende Welle von Server Component-bezogenen CVEs in diesem Jahr und wirft ernsthafte Fragen zur fundamentalen Sicherheitsarchitektur dieses Paradigmas auf. Frameworks wie TanStack Start, die das React Server DOM package meiden, bleiben unberührt, was eine wachsende Divergenz in den Sicherheitsprofilen hervorhebt.

Ein kritischer i18n middleware bypass setzte Anwendungen, die mit Next.js’s Pages Router erstellt wurden, unbefugtem Datenzugriff aus. Als CVE mit einem Schweregrad von 7,5 von 10 identifiziert, ermöglichte dieser Fehler Angreifern, die Authentifizierungslogik zu umgehen, die zum Schutz sensibler serverseitiger Daten entwickelt wurde. Die Schwachstelle betraf insbesondere Anwendungen, die Next.js’s Internationalisierungsfunktionen (i18n) nutzen.

Die Ausnutzung des Bypass erforderte minimalen Aufwand. Ein Angreifer erhielt zunächst die eindeutige Build-ID der Anwendung, die typischerweise im `_next/data`-Skript auf jeder gerenderten Seite zu finden ist. Mit dieser ID konnten sie eine direkte URL konstruieren, wie z.B. `/_next/data/[build ID]/[page].json`, die auf Seiten abzielte, die sich auf `getServerSideProps` für die Datenbeschaffung verließen. Dieser direkte Zugriff rief die Daten-Payload der Seite als JSON ab, wodurch alle in der Middleware der Anwendung implementierten Authentifizierungsprüfungen vollständig umgangen wurden.

Die Ursachenanalyse ergab eine fehlerhafte Logik innerhalb der i18n-Integration von Next.js. Als i18n aktiviert war, versäumte es der Middleware-Matcher des Frameworks, die Basisroute einer Seite (z.B. `/secret`) angemessen zu schützen. Während lokalspezifische Varianten wie `/en/secret` oder `/fr/secret` die Middleware-Authentifizierung korrekt auslösten, blieb der rohe, nicht-lokalisierte Daten-Endpunkt ungeschützt. Dies schuf eine klaffende Lücke, die den direkten Zugriff auf ansonsten gesicherte Informationen ermöglichte.

Die Auswirkungen waren erheblich für Anwendungen, die sensible Informationen über `getServerSideProps` weitergaben. Unbefugte Benutzer konnten vertrauliche Daten – wie Benutzer-E-Mails, interne Flags oder proprietäre Schlagzeilen – ohne Anmeldung abrufen. Dies untergrub zentrale Sicherheitsannahmen und zeigte, wie ein subtiler Konfigurationsfehler zu einer schwerwiegenden Datenpanne in Produktionsumgebungen führen kann.

Der jüngste i18n Middleware-Bypass, ein CVE mit einer Schweregradbewertung von 7,5, legte eine tiefgreifendere architektonische Schwachstelle in vielen Next.js-Anwendungen offen. Entwickler missinterpretieren Middleware häufig als einen definitiven Sicherheitsperimeter, eine Fehleinschätzung, die das Video "I'm Done With NextJS" direkt in Frage stellt. Die Next.js-Dokumentation selbst rät davon ab, sich ausschließlich auf Middleware für kritische Autorisierung zu verlassen.

Middleware-Funktionen dienen per Design hauptsächlich der Anforderungsmodifikation, Weiterleitung oder grundlegenden Zugriffskontrolle. Sie operieren auf einer Edge-Schicht, wodurch sie anfällig für spezifische Bypass-Vektoren wie die i18n-Schwachstelle oder den direkten Zugriff auf Datenabruf-Endpunkte sind. Diese inhärente Einschränkung erfordert eine Defense-in-Depth-Strategie für eine robuste Anwendungssicherheit.

Wahre Sicherheit erfordert Prüfungen auf jeder Ebene, nicht nur in der anfänglichen Anforderungspipeline. Implementieren Sie umfassende Authentifizierung und Autorisierung direkt in Ihren serverseitigen API-Routen und `getServerSideProps`- oder `getStaticProps`-Funktionen. Dies stellt sicher, dass sensible Daten selbst bei einem Versagen oder Bypass der Middleware durch explizite Validierung auf Serverebene geschützt bleiben.

Sich ausschließlich auf Middleware für kritische Autorisierung zu verlassen, schafft gefährliche Schwachstellen. Angreifer können Bypässe ausnutzen, um: - Auf sensible Benutzerdaten, wie E-Mails oder interne Flags, aus `_next/data` JSON-Payloads zuzugreifen. - Rollenbasierte Zugriffskontrollen zu umgehen und unbefugten Zugang zu administrativen Schnittstellen zu erhalten. - Den Anwendungszustand zu manipulieren oder Aktionen auszuführen, die typischerweise auf authentifizierte Benutzer beschränkt sind.

Für weitere Informationen darüber, wie solche Schwachstellen Webanwendungen beeinflussen können, konsultieren Sie Ressourcen wie Security Update: Multiple vulnerabilities in Next.js and React - Netlify. Dieser mehrschichtige Ansatz verhindert, dass ein einziger Fehlerpunkt die Integrität Ihrer gesamten Anwendung gefährdet.

Angreifer entdeckten auch eine kritische Denial of Denial of Service of Denial of Service-Schwachstelle, die auf Next.js-Serverkomponenten und jedes Framework abzielt, das das React Server DOM-Paket nutzt. Dieser Fehler, dem eine Schweregradbewertung von 7,5 von 10 zugewiesen wurde, setzt Anwendungen mit minimalem Aufwand lähmenden Verlangsamungen aus. Entwickler, die selbst die einfachsten Server-Aktionen in ihren Next.js-Anwendungen verwendeten, waren anfällig.

Der Exploit-Mechanismus beinhaltet das Senden einer massiv aufgeblähten Payload an den Server. Angreifer erstellen Anfragen, die Tausende von Schlüsseln und Zeigern enthalten, die speziell darauf ausgelegt sind, die Verarbeitungsfähigkeiten des Servers während der Deserialisierungsphase des React Flight Protocol zu belasten. Dieses Protokoll standardisiert, wie React Komponentenbäume und Daten zwischen Server und Client serialisiert.

Diese scheinbar harmlose Datenstruktur löst einen algorithmischen Zusammenbruch aus. Der Deserialisierungsprozess, wenn er mit einer derart überdimensionierten und komplexen Payload konfrontiert wird, entwickelt sich zu einer quadratischen Komplexität (K * N) von String-Vergleichen. Dies führt zu erstaunlichen 200 Millionen Operationen für eine einzige fehlerhafte Anfrage, was die erwarteten Verarbeitungslasten weit übersteigt.

Die Auswirkungen sind unmittelbar und schwerwiegend. Eine Anfrage, die normalerweise in nur 0,02 Sekunden aufgelöst würde, dehnt sich nach nur einem Exploit-Durchlauf auf sechs Sekunden aus. Das Verketten mehrerer solcher Anfragen kann Server-Threads effektiv blockieren, wodurch die Anwendung nicht mehr reagiert und für legitime Benutzer unzugänglich wird.

Ingenieure von React und Next.js entwickelten schnell einen ausgeklügelten Patch, um die Denial of Denial of Service of Denial of Service (DoS)-Schwachstelle innerhalb des React Flight protocol zu mindern. Dieser Exploit ermöglichte es Angreifern zuvor, Server mit einer einzigen, bösartig erstellten Anfrage zu überlasten. Der Fix zielte primär auf den Deserialisierungsprozess ab, der zuvor mit komplexen Datenstrukturen zu kämpfen hatte.

Entwickler implementierten ein neuartiges cursor-based system zur Deserialisierung eingehender Datenströme. Dieser geniale Ansatz verarbeitet die komplexen Komponentenbäume und Daten des Protokolls mit bemerkenswerter Effizienz. Anstatt die gesamte Payload mehrfach zu parsen, navigiert das Cursorsystem intelligent durch die Daten und optimiert die Ressourcennutzung.

Diese technische Meisterleistung verbesserte die rechnerische Komplexität dramatisch. Die alte Deserialisierungsmethode litt unter einer K * N Komplexität, wobei K die Tiefe verschachtelter Objekte und N die Gesamtzahl der Elemente darstellte, was zu exponentiellen Verlangsamungen führte. Das neue System erreicht eine hocheffiziente lineare Komplexität, die bei N + K arbeitet. Diese grundlegende Verschiebung änderte grundlegend, wie der Server Payloads verarbeitet.

Die Auswirkungen auf Leistung und Sicherheit waren unmittelbar und tiefgreifend. Benchmarks zeigten eine erstaunliche Reduzierung der Operationen für bösartige Payloads. Was zuvor über 200 Millionen Operationen auslöste und Server an ihre Belastungsgrenze brachte, erforderte nun nur noch etwa 200.000 Operationen. Diese entschlossene Maßnahme neutralisierte die DoS threat effektiv und schützte Anwendungen, die auf dem React Flight protocol basieren, vor ähnlichen Angriffen.

Unter den zahlreichen Schwachstellen stach eine mit der höchsten Schweregradbewertung hervor: eine 8.6/10 Server-Side Request Forgery (SSRF), die selbst gehostete Next.js-Anwendungen betrifft. Dieser kritische Fehler stellte einen tiefgreifenden Vertrauensbruch dar, der es Angreifern ermöglichte, einen öffentlich zugänglichen Server in einen unwissenden Komplizen für interne Aufklärung und Ausnutzung zu verwandeln.

SSRF täuscht einen Server grundsätzlich dazu, Anfragen im Namen eines Angreifers an ansonsten unzugängliche interne Denial of Services zu stellen. Stellen Sie sich einen Server vor, der normalerweise durch robuste Firewalls geschützt ist, der plötzlich Verbindungen zu seinen eigenen internen Datenbanken, Caching-Layern oder privaten APIs herstellt, alles auf Befehl eines externen bösartigen Akteurs. Dies ist die Essenz eines SSRF-Angriffs.

Die Ausnutzung dieser Next.js-Schwachstelle erwies sich als alarmierend einfach. Angreifer erstellten eine `curl`-Anfrage, die einen `Upgrade: websocket`-Header und ein benutzerdefiniertes Anforderungsziel enthielt. Diese scheinbar harmlose Kombination manipulierte den Server dazu, beliebige Verbindungen innerhalb seiner internen Netzwerke zu initiieren und externe Abwehrmechanismen zu umgehen.

Die Gefahr, die von dieser SSRF ausging, war katastrophal. Sie ermöglichte einen direkten Firewall-Bypass und gewährte Angreifern ein beispielloses Tor zur sensibelsten Infrastruktur einer Organisation. Interne Datenbanken, Redis-Instanzen und andere private APIs, die normalerweise isoliert und geschützt sind, wurden durch die kompromittierte Next.js-Anwendung direkt exponiert.

Diese Schwachstelle bedeutete, dass ein Angreifer ein internes Netzwerk kartieren, sensible Daten extrahieren oder sogar Aktionen auf internen Systemen auslösen konnte, ohne jemals direkt diese Denial of Services zu berühren. Für Entwickler, die weitere Anleitungen zur Sicherung ihrer Anwendungen suchen, bieten Ressourcen wie Guides: Data Security - Next.js wertvolle Informationen. Die einfache Ausnutzung in Kombination mit dem Potenzial für tiefen internen Zugriff machte diese SSRF zu einer der besorgniserregendsten Offenlegungen in der Next.js-Sicherheitsveröffentlichung.

Das Better Stack Video „I'm Done With NextJS... 13 NEW vulnerabilities“ fragte provokativ, ob Server-Komponenten ein Fehler waren. Diese Frage kristallisiert eine wachsende Besorgnis innerhalb der Entwicklergemeinschaft hinsichtlich des inhärenten Sicherheits-Overheads von React Server Components (RSCs). Der Paradigmenwechsel führt eine erhebliche „Sicherheitssteuer“ ein – eine unbestreitbare Zunahme der architektonischen Komplexität und eine erweiterte Angriffsfläche.

Die Implementierung von RSCs definiert den Server-Client-Vertrag grundlegend neu und geht über traditionelle HTTP-Anfrage-Antwort-Zyklen hinaus. Dieses neue Modell erfordert eine akribische Handhabung der Datenserialisierung und -deserialisierung, oft durch benutzerdefinierte Protokolle. Primeagens prägnanter Tweet, der im Video zitiert wird, fasst diese Herausforderung perfekt zusammen: „It's hard to make custom serialization protocols.“ Das React Flight protocol, das den Kern von RSCs bildet, dient genau als eine solche benutzerdefinierte Schicht, und seine komplexe Natur macht eine robuste, sichere Implementierung außergewöhnlich schwierig.

Die Analyse der jüngsten 13 CVEs offenbart ein klares Muster. Viele Schwachstellen, einschließlich kritischer Denial of Denial of Service of Denial of Service-Fehler, lassen sich direkt auf die neuartige Architektur von RSCs und die Komplexität des Flight protocol zurückführen. Die DoS-Schwachstelle nutzte beispielsweise das `React Server DOM`-Paket aus, ein grundlegendes Element für RSCs. Dies war kein konventioneller API-Bug; es nutzte aus, wie Komponentenbäume und Daten zwischen Server und Client gestreamt werden.

Dieses Muster unterstreicht die einzigartigen Sicherheitsherausforderungen, die Systemen innewohnen, die Server- und Client-Logik verschwimmen lassen. Der Middleware-Bypass, obwohl nicht direkt ein Flight protocol-Problem, trägt zur gesamten „Sicherheitssteuer“ bei, indem er zeigt, wie neue Routing-Paradigmen, insbesondere mit Funktionen wie i18n, unerwartete Angriffsvektoren in einem komplexen Framework einführen können. Entwickler müssen nun Bedrohungen tief innerhalb der Komponenten-Serialisierung und -Hydration berücksichtigen, über die traditionelle HTTP-Anfragevalidierung hinaus. Dies erfordert ein erhöhtes Maß an Sorgfalt und ein breiteres Verständnis potenzieller Exploits über den gesamten Stack hinweg, wodurch die Last der Sicherheitsanalyse auf eine viel tiefere, abstraktere Ebene der Anwendung verlagert wird.

TanStack Start ging aus der jüngsten Welle von Next.js-Schwachstellen völlig unbeschadet hervor. Während Next.js mit 13 CVEs zu kämpfen hatte, darunter kritische Middleware-Bypässe und Server-Side Request Forgery, blieb TanStack Start unberührt. Dieser frappierende Kontrast bietet eine entscheidende Fallstudie zur Framework-Architektur und deren direkten Auswirkungen auf die Sicherheitsposition.

Der Unterschied liegt in grundlegenden Designphilosophien. Next.js priorisiert oft die Entwicklerfreundlichkeit durch „Magie“, indem es Servergrenzen und implizite Datenflüsse abstrahiert. Dieser Ansatz kann, obwohl leistungsstark, versteckte Angriffsflächen einführen, wenn die zugrunde liegenden Mechanismen – wie das React Flight protocol oder i18n routing – unerwartet funktionieren.

TanStack Start hingegen setzt auf einen expliziten, typsicheren Ansatz mit klar definierten Loadern und Aktionen. Entwickler deklarieren serverseitige Operationen explizit, wodurch die Server-Client-Grenze eindeutig wird. Diese architektonische Klarheit minimiert das Potenzial für Fehlkonfigurationen oder unbeabsichtigte Datenexpositionen, da das Verhalten des Frameworks besser mit den Erwartungen der Entwickler übereinstimmt.

Frameworks, die „Magie“ reduzieren, verbessern oft die Sicherheit, indem sie Entwickler dazu zwingen, sich direkt mit Datenflüssen und Ausführungsumgebungen auseinanderzusetzen. Die Designentscheidungen von TanStack Start, die explizite Serverfunktionen und eine robuste Typüberprüfung betonen, fördern von Natur aus eine sicherere und auditierbarere Entwicklererfahrung. Diese Vorhersehbarkeit wird zu einer mächtigen Verteidigung gegen die Arten von Bypässen und Datenlecks, die Next.js in seinem jüngsten Sicherheits-Release plagten.

Letztendlich ist dies keine Erklärung für die allgemeine Überlegenheit eines Frameworks, sondern eine architektonische Lektion. Die TanStack-Ausnahme unterstreicht, wie explizites Design, klare Servergrenzen und robuste Typsicherheit die Angriffsfläche eines Frameworks radikal reduzieren können. Es fordert Entwickler und Framework-Autoren gleichermaßen heraus, die Sicherheitsauswirkungen von Bequemlichkeit versus Kontrolle zu berücksichtigen.

Next.js-Entwickler stehen vor einem dringenden Auftrag. Die jüngste Offenlegung von 13 CVEs erfordert sofortiges, entschlossenes Handeln, um Anwendungen und Benutzerdaten zu schützen. Zögern birgt ein inakzeptables Risiko, angesichts der Schwere von Problemen wie Middleware-Bypässen und Server-Side Request Forgery.

Identifizieren Sie zunächst präzise Ihre aktuellen Next.js- und React-Versionen. Dieser grundlegende Schritt bestimmt Ihr Expositionsniveau gegenüber den kürzlich behobenen Schwachstellen. Verwenden Sie `npm list next` und `npm list react` oder überprüfen Sie Ihre `package.json`, um diese kritischen Abhängigkeiten zu bestätigen.

Aktualisieren Sie sofort alle betroffenen Anwendungen auf die gepatchten Versionen. Ziel sind Next.js 15.5.18 oder höher und React 19.0.6 oder höher. Diese Releases enthalten entscheidende Korrekturen für die weit verbreiteten Sicherheitslücken, einschließlich des Denial of Denial of Service of Denial of Service via the React Flight protocol. Für weitere technische Details zu solchen Schwachstellen konsultieren Sie Ressourcen wie CVE-2026-23864: React and Next.js Denial of Denial of Service of Denial of Service via Memory Exhaustion | Akamai.

Führen Sie eine gründliche Prüfung Ihres Anwendungscodes durch, wobei Sie sich auf Bereiche konzentrieren, in denen die Sicherheit auf Framework-Abstraktionen beruht. Achten Sie besonders auf die Middleware-Logik und stellen Sie sicher, dass Authentifizierungs- und Autorisierungsprüfungen robust und nicht anfällig für Bypässe wie den i18n flaw sind. Untersuchen Sie kritisch Datenabrufmuster, um Server-Side Request Forgery und andere Datenexpositionsrisiken zu verhindern.

Leiten Sie eine umfassende Teamdiskussion über architectural risk und zukünftige Framework-Entscheidungen ein. Dieser Vorfall unterstreicht die Notwendigkeit eines tiefgreifenden Sicherheitsverständnisses, das über die oberflächliche API-Nutzung hinausgeht. Bewerten Sie, ob die aktuellen Framework-Auswahlen mit der Sicherheitslage und Risikotoleranz Ihrer Organisation übereinstimmen.

Jüngste Enthüllungen, insbesondere die beispiellose Flut von 13 CVEs, die Next.js und React betreffen, markieren einen kritischen Scheideweg für die Webentwicklung. Dieses Ereignis erzwingt eine wesentliche Neubewertung der architektonischen Paradigmen, die den modernen Anwendungsbau dominieren. Die schiere Breite der Schwachstellen, von subtilen Middleware Bypasses bis hin zu schwerwiegender Server-Side Request Forgery, erfordert Selbstreflexion.

Integrierte, servergesteuerte UI frameworks versprechen eine unvergleichliche Entwicklererfahrung und Leistung, aber haben sie unbeabsichtigt grundlegende Sicherheitsbest-Practices überholt? Die These der „server component 'security tax'“ gewinnt erheblich an Gewicht, wenn eine einzige fehlerhafte Anfrage eine Denial of Denial of Service of Denial of Service über das React Flight protocol auslösen kann oder ein i18n-Konfigurationsfehler sensible server-side props offenlegt.

Entwickler haben die Bequemlichkeit der Vereinheitlichung von Server- und Client-Logik angenommen, doch diese enge Kopplung schafft von Natur aus neue Angriffsflächen. Die Verwischung der Grenzen zwischen dem, was wo und in welchem Kontext ausgeführt wird, führt zu Komplexitäten, die aktuelle Sicherheitsmodelle möglicherweise nicht vollständig berücksichtigen. Dies macht eine robuste threat modeling schwieriger denn je.

Die zukünftige Entwicklung könnte eine erneute Betonung expliziter, entkoppelter Architekturen sehen. Klare Grenzen zwischen Client und Server, vielleicht mit gut definierten API-Verträgen und unterschiedlichen Sicherheitsdomänen, könnten wieder an Beliebtheit gewinnen, um die Sicherheitsargumentation zu vereinfachen und systemische Risiken zu reduzieren. Einfachheit korreliert oft direkt mit Sicherheit.

Umgekehrt könnten frameworks wie Next.js reifen und sich stabilisieren, indem sie robustere security primitives integrieren und strengeren, proaktiven Audits unterzogen werden. Die clevere technische Lösung, die für die React Flight protocol Denial of Denial of Service of Denial of Service-Schwachstelle implementiert wurde, demonstriert die Fähigkeit des Teams zur schnellen, effektiven Behebung unter Druck.

Die bemerkenswerte Ausnahme von TanStack Start von diesen weit verbreiteten Schwachstellen bietet eine überzeugende alternative Perspektive. Seine architektonischen Entscheidungen, insbesondere die Vermeidung des React Server DOM package, deuten darauf hin, dass unterschiedliche Designphilosophien von Natur aus unterschiedliche Sicherheitsprofile ergeben. Dies ist ein starkes Argument für Vielfalt in den framework-Ansätzen.

Welchen Weg das Ökosystem letztendlich auch einschlägt, diese Episode dient als deutliche Erinnerung: Sicherheit darf kein nachträglicher Gedanke bleiben. Hinterfragen Sie jede architektonische Entscheidung, prüfen Sie jede Abhängigkeit und priorisieren Sie eine robuste Sicherheitslage von der allerersten Codezeile in Ihrem nächsten Projekt an. Die Verantwortung liegt bei jedem Entwickler.

Was sind die kritischsten Next.js-Schwachstellen aus der Veröffentlichung vom Mai 2026?

Die kritischsten Schwachstellen umfassen eine hochkritische Server-Side Request Forgery (SSRF) (8.6/10), mehrere Middleware Bypasses (7.5/10) und einen Denial of Service (DoS)-Angriff, der das React Flight protocol betrifft (7.5/10).

Sind React Server Components (RSCs) von Natur aus unsicher?

RSCs sind nicht von Natur aus unsicher, aber sie führen ein neues, komplexes Paradigma ein, das die Angriffsfläche erheblich erweitert. Diese „security tax“ erfordert mehr Sorgfalt sowohl von framework-Autoren als auch von Entwicklern, um Schwachstellen wie unsafe deserialization zu verhindern.

Wie schütze ich meine Next.js-Anwendung vor diesen Schwachstellen?

Die einzige garantierte Lösung ist, Ihre Next.js- und React-Abhängigkeiten sofort auf die gepatchten Versionen zu aktualisieren, die im offiziellen Vercel-Sicherheitshinweis angegeben sind. Sich allein auf eine WAF zu verlassen, ist nicht ausreichend.

War TanStack Start von diesen Next.js-Schwachstellen betroffen?

Nein, TanStack Start war von diesen spezifischen CVEs nicht betroffen, da es weder das React Server DOM-Paket noch dieselben Architekturmuster wie Next.js verwendet, was die Sicherheitsvorteile seines expliziteren Designs hervorhebt.