Vercel凌晨3点给10万项目打补丁

4月8日凌晨，Vercel的安全团队完成了一次静默部署。没有公告预热，没有邮件轰炸，全球10万个托管项目被自动纳入保护范围——原因是React Server Components（服务端组件）里埋了颗雷，CVSS评分7.5，触发条件简单到让人脊背发凉：一个精心构造的HTTP请求，就能让CPU直接跑满。

这不是演习。漏洞编号CVE-2026-23869，影响Next.js 13.x到16.x全系列，以及所有使用App Router的下游框架。换句话说，过去4年里，只要你用了React服务端渲染，理论上都在裸奔。

一颗"慢查询炸弹"是怎么炼成的

问题出在反序列化环节。攻击者向任意App Router服务端函数端点发送特定格式的HTTP请求，服务端在解析时会被迫进行大量冗余计算。Vercel工程师在内部复现时发现，单台中等配置的服务器能在30秒内被拖进无响应状态。

这种攻击的阴险之处在于"合法外衣"。请求本身不携带恶意代码，不触发传统WAF的拦截规则，看起来就像个稍微复杂点的正常调用。等监控报警响起，服务已经瘫了。

React核心团队确认，漏洞根因是服务端组件在解析特定数据结构时缺乏深度限制。类比一下：就像快递分拣系统遇到一个没有明确层数的俄罗斯套娃包裹，必须拆到最底层才能确认内容，而攻击者可以无限嵌套。

Vercel的"先斩后奏"策略

发现漏洞后，Vercel选择了一条很少见的路径：先部署防护，再公开细节。

他们在WAF（Web应用防火墙）层新建了针对性规则，自动识别并拦截异常反序列化请求。所有托管在Vercel上的项目零配置获得保护，不额外收费。这个动作在4月8日当天完成，比官方安全公告早了数小时。

但Vercel的工程师在公告里留了一句硬话："不要依赖WAF作为完整防护。"WAF规则只能过滤已知攻击模式，如果攻击者微调 payload 结构，绕过概率客观存在。根治方案只有一个：升级。

补丁版本已经就绪：15.x用户需更新至15.5.15，16.x用户需更新至16.2.3。13.x和14.x的用户更紧迫——这些版本已进入维护末期，需要评估迁移或申请延长支持。

为什么这次反应这么快

React服务端组件的漏洞历史并不长。2020年12月，React团队首次公开Server Components架构，2023年随Next.js 13 App Router正式落地生产环境。CVE-2026-23869是公开记录中首个针对该架构的高危拒绝服务漏洞。

Vercel的响应速度值得拆解。作为Next.js的商业托管方和主要贡献者，他们拥有独特的信息优势：既能接触到React核心团队的预披露，又能直接观测全球项目的流量模式。这次WAF规则的快速部署，本质上是用基础设施层的能力补上了框架层的空窗期。

但这种"保姆式防护"也引发了一个悬而未决的问题：当平台方越来越深地介入安全治理，开发者的安全意识和升级动力会不会被稀释？Vercel在公告里反复强调"立即升级"，语气之急切，几乎能读出他们的担忧——WAF不是万能药，总有人会把"被保护"误解为"没问题"。

React团队同步发布了底层修复，涉及react-server包的输入校验逻辑。下游框架的跟进速度参差不齐：Remix已在3.2.1版本合并补丁，Redwood和Blitz的更新还在测试中。

一个值得注意的细节是漏洞的CVSS评分定级。7.5分属于"高危"区间，但未触及9分以上的"严重"。评分委员会的解释是：该漏洞仅导致拒绝服务，不涉及数据泄露或远程代码执行。对于基础设施团队来说，这个区分意义有限——服务宕机的业务损失，往往比数据泄露更直接。

如果你的项目还在15.5.15或16.2.3以下版本，现在最该做什么？是先检查Vercel控制台的WAF拦截日志，还是直接锁死升级窗口？