title: "Next.js e React: le vulnerabilità di maggio 2026 e come aggiornare" tags: [nextjs, react, sicurezza]

Next.js e React: le vulnerabilità di maggio 2026 e come aggiornare

All'inizio di maggio 2026 il team di Next.js e React ha pubblicato un security release coordinato che corregge 13 advisory: denial of service, bypass del middleware, SSRF, cache poisoning e XSS. Se hai un'app Next.js in produzione, va aggiornata subito.

Cosa è successo

Il 6 maggio 2026, con un follow-up il giorno dopo, Vercel ha rilasciato le patch per un gruppo di vulnerabilità che tocca quasi tutte le versioni supportate di Next.js, più una falla a monte nei React Server Components (CVE-2026-23870).

Le versioni che contengono i fix sono:

Sono interessate (e quindi da aggiornare) tutte le 13.x e 14.x, le 15.x fino alla 15.5.17 e le 16.x fino alla 16.2.5.

Le categorie di vulnerabilità

I 13 advisory si dividono così:

Il bypass del middleware è il gruppo che preoccupa di più: se usi il middleware per autenticazione o controllo degli accessi, una richiesta costruita ad arte potrebbe aggirarlo.

Cosa fare, in pratica

La raccomandazione ufficiale è netta: aggiornare è l'unica mitigazione completa. Bloccare a livello di WAF non è affidabile per questo tipo di falle.

# Controlla la versione installata
npm ls next

# Aggiorna alla patch del tuo major
npm install next@15.5.18   # oppure next@16.2.6

Dopo l'aggiornamento, ricostruisci e fai il redeploy. Se sei ancora su Next.js 13 o 14, questo è un buon momento per pianificare il salto a un major supportato: continuare a ricevere patch di sicurezza è parte del costo di mantenere un'app in produzione.

Perché lo segnalo

Lavoro ogni giorno con Next.js, e tenere aggiornata la dipendenza più esposta di un'app — il framework che gestisce richieste, routing e rendering — non è un dettaglio: è manutenzione di base. Un release come questo è il promemoria che la sicurezza non è una feature da aggiungere alla fine, ma una cosa di cui ti occupi prima che diventi un problema.