Le 7 mai 2026, Vercel a publié une mise à jour de sécurité critique pour Next.js corrigeant 13 vulnérabilités (contournement d’authentification via middleware/proxy, DoS dans les React Server Components (CVE-2026-23870), SSRF via WebSocket, cache poisoning, et XSS avec CSP nonces ou scripts beforeInteractive).
Les failles touchent les applications utilisant App Router, Pages Router, Server Functions, ou l’API d’optimisation d’images. Aucune règle WAF ne peut bloquer ces attaques – la mise à jour est obligatoire.