CVE-2026-27979

Next.js is a React framework for building full-stack web applications. Starting in version 16.0.1 and prior to version 16.1.7, a request containing the `next-resume: 1` header (corresponding with a PPR resume request) would buffer request bodies without consistently enforcing `maxPostponedStateSize` in certain setups. The previous mitigation protected minimal-mode deployments, but equivalent non-minimal deployments remained vulnerable to the same unbounded postponed resume-body buffering behavior. In applications using the App Router with Partial Prerendering capability enabled (via `experimental.ppr` or `cacheComponents`), an attacker could send oversized `next-resume` POST payloads that were buffered without consistent size enforcement in non-minimal deployments, causing excessive memory usage and potential denial of service. This is fixed in version 16.1.7 by enforcing size limits across all postponed-body buffering paths and erroring when limits are exceeded. If upgrading is not immediately possible, block requests containing the `next-resume` header, as this is never valid to be sent from an untrusted client.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/vercel/next.js/commit/c885d4825f800dd1e49ead37274dcd08cdd6f3f1	Patch
https://github.com/vercel/next.js/releases/tag/v16.1.7	Release Notes
https://github.com/vercel/next.js/security/advisories/GHSA-h27x-g6w4-24gq	Vendor Advisory Mitigation

Configurations

Configuration 1 (hide)

cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*

History

18 Mar 2026, 20:04

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 7.5
First Time		Vercel next.js Vercel
References	~~() https://github.com/vercel/next.js/commit/c885d4825f800dd1e49ead37274dcd08cdd6f3f1 -~~	() https://github.com/vercel/next.js/commit/c885d4825f800dd1e49ead37274dcd08cdd6f3f1 - Patch
References	~~() https://github.com/vercel/next.js/releases/tag/v16.1.7 -~~	() https://github.com/vercel/next.js/releases/tag/v16.1.7 - Release Notes
References	~~() https://github.com/vercel/next.js/security/advisories/GHSA-h27x-g6w4-24gq -~~	() https://github.com/vercel/next.js/security/advisories/GHSA-h27x-g6w4-24gq - Vendor Advisory, Mitigation
CPE		cpe:2.3:a:vercel:next.js::::::node.js::*

18 Mar 2026, 14:52

Type	Values Removed	Values Added
Summary		(es) Next.js es un React framework para construir aplicaciones web full-stack. A partir de la versión 16.0.1 y antes de la versión 16.1.7, una solicitud que contuviera el encabezado `next-resume: 1` (correspondiente a una solicitud de reanudación PPR) almacenaría en búfer los cuerpos de las solicitudes sin aplicar consistentemente `maxPostponedStateSize` en ciertas configuraciones. La mitigación anterior protegía las implementaciones en modo mínimo, pero las implementaciones no mínimas equivalentes seguían siendo vulnerables al mismo comportamiento de almacenamiento en búfer ilimitado del cuerpo de reanudación pospuesto. En aplicaciones que utilizan el App Router con la capacidad de Prerrenderizado Parcial habilitada (a través de `experimental.ppr` o `cacheComponents`), un atacante podría enviar cargas útiles POST `next-resume` sobredimensionadas que se almacenaban en búfer sin una aplicación consistente del tamaño en implementaciones no mínimas, causando un uso excesivo de memoria y una potencial denegación de servicio. Esto se corrige en la versión 16.1.7 al aplicar límites de tamaño en todas las rutas de almacenamiento en búfer de cuerpos pospuestos y generar un error cuando se exceden los límites. Si la actualización no es posible de inmediato, bloquee las solicitudes que contengan el encabezado `next-resume`, ya que nunca es válido que esto sea enviado desde un cliente no confiable.

18 Mar 2026, 01:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-18 01:16

Updated : 2026-03-18 20:04

NVD link : CVE-2026-27979

Mitre link : CVE-2026-27979

CVE.ORG link : CVE-2026-27979

JSON object : View

Products Affected

vercel

next.js

CWE

CWE-770

Allocation of Resources Without Limits or Throttling

7.5 /10