Next.js corrige 13 vulnerabilidades em patch de maio 2026

A Vercel publicou em 7 de maio de 2026 um security release coordenado para o Next.js endereçando, segundo o anúncio oficial, 13 advisories que cobrem vetores de denial of service, bypass de middleware e proxy, server-side request forgery, cache poisoning e cross-site scripting. O patch afeta aplicações em produção rodando App Router, React Server Components e qualquer fluxo que dependa de middleware para autenticação ou roteamento condicional.

O que o patch cobre

O aviso lista cinco categorias de vulnerabilidade no mesmo release: DoS, middleware e proxy bypass, SSRF, cache poisoning e XSS — volume incomum para um único ciclo de correção. Middleware bypass é historicamente o vetor mais crítico em Next.js porque afeta diretamente lógicas de autenticação colocadas na camada de edge antes do render. Cache poisoning e SSRF são relevantes para quem usa fetch com revalidação via ISR ou faz chamadas a APIs internas a partir de Server Actions.

• Denial of Service — requisições malformadas podem travar o servidor de renderização
• Middleware e proxy bypass — regras de auth no middleware.ts podem ser contornadas
• SSRF — chamadas internas via Server Actions ou Route Handlers podem ser redirecionadas
• Cache poisoning — respostas cacheadas podem ser corrompidas com headers forjados
• XSS — saídas em RSC ou Client Components podem injetar scripts em contextos específicos

Quem precisa agir agora

Apps com lógica de autenticação no middleware.ts — padrão comum em stacks com Supabase Auth, NextAuth ou Clerk — são o caso de risco mais alto. Se o middleware decide quem acessa rotas protegidas, um bypass bem-sucedido expõe o conteúdo inteiro sem credencial. Apps em Pages Router sem Server Actions ou RSC têm superfície de ataque reduzida, mas ainda estão dentro do escopo do patch de DoS.

Para verificar a versão atual do projeto: cat package.json | grep next ou npx next --version. O caminho de upgrade segue semver padrão — npm install next@latest ou fixar a versão mínima corrigida conforme a release notes oficial antes de fazer deploy.

O que checar após o upgrade

Atualizar o pacote resolve as vulnerabilidades, mas patches de segurança em Next.js eventualmente introduzem quebras silenciosas em comportamento de cache ou em como o middleware propaga headers. Vale rodar o fluxo de login completo em staging, testar a rota protegida mais crítica sem sessão ativa e comparar os headers de resposta de páginas cacheadas antes e depois do deploy.

1. Atualize com npm install next@latest e verifique package-lock.json
2. Em staging, acesse uma rota protegida sem cookie de sessão — deve redirecionar normalmente
3. Dispare um request com Cache-Control: no-store forçado e confirme que o ISR não serviu stale
4. Revise Server Actions que fazem fetch para URLs de rede interna — candidatos a SSRF
5. Monitore erros 500 nas primeiras horas após deploy em produção

Para quem usa pipeline de CI/CD, vale adicionar uma etapa de checagem de versão mínima antes do build — impede que um npm install antigo suba uma versão vulnerável sem aviso. O artigo GitHub Actions vs GitLab CI vs CircleCI: qual CI/CD compensa tem exemplos de steps de validação que se encaixam direto nesse fluxo.