Next.js に 5 件の深刻な脆弱性が FIX:DoS/SSRF/認証バイパスに対応

Multiple Critical Flaws Fixed in Next.js and React Server Components

2026/05/08 gbhackers — Vercel が公開したのは、Next.js のバージョン 13.x 〜 16.x に影響を及ぼす、高深刻度の脆弱性に対処するための、重要なセキュリティ・アップデートである。一連の脆弱性に含まれるのは、未認証サービス拒否 (DoS)/サーバサイド・リクエスト・フォージェリ (SSRF)/複数のミドルウェア認証バイパスなどの欠陥であり、Web アプリケーションに深刻なリスクをもたらすものである。

すでに、バージョン 15.5.16/16.2.6 で修正されているため、本番環境で React フレームワークに依存する開発者にとって、今回のアップデートの適用は不可欠である。この脆弱性に関する情報は、Tim Neutkens により GitHub アドバイザリを通じて公開されている

ミドルウェアと認証バイパス

セキュリティ・アドバイザリの大部分は、ミドルウェアまたはプロキシ・ベースの認証チェックの回避を攻撃者に許してしまう、脆弱性に焦点を当てたものになっている。

CVE-2026-44575 は App Router 構成に影響し、特別に細工された “.rsc” および segment-prefetch URL により、意図されたミドルウェア・ルールを経由せずに、保護されたコンテンツへのアクセスを許すものだ。

CVE-2026-44574 は低権限であっても悪用が可能な脆弱性であり、細工されたクエリ・パラメータを注入する攻撃者に対して、動的ルート値の変更を許すものである。これにより、ミドルウェアの防御からパスを隠蔽しながら、保護データを取得できる。

CVE-2026-44573 は、i18n 機能を備えた Pages Router を用いたレガシー構成に対して、影響を及ぼす問題である。この構成では、ロケール情報を含まないデータ・リクエストを送信し、セキュリティ・チェックを回避する攻撃者に対して、機密性の高いサーバサイド・レンダリング (SSR) JSON ファイルの取得を許してしまう。

DoS の脆弱性

アプリケーションの可用性については、以下の 2 件の DoS 脆弱性が深刻な影響を与える。

CVE-2026-23870 は、App Router の Server Function エンドポイントに対する、細工された HTTP リクエストの送信により悪用される。このペイロードがデシリアライズされると CPU 使用率が過剰に増加し、システムの停止に至る。

2 件目の高深刻度の脆弱性である

CVE-2026-44579 は、Partial Prerendering の Cache Component を利用するアプリケーションに影響するものであり、リクエストボディ処理におけるデッドロックを悪意の POST リクエストが誘発し、接続が開放されない状態に至る。その結果、ファイル・ディスクリプタおよびサーバ容量が枯渇する恐れがある。

直ちにパッチ適用できない管理者に対して強く推奨されるのは、Next-Resume ヘッダーを含む受信リクエストを、エッジ側でブロックすることである。

WebSocket 経由の SSRF

Node.js 内蔵サーバを利用するセルフホスト Next.js アプリケーションは、深刻な SSRF の脆弱性 CVE-2026-44578 の影響を受ける。WebSocket アップグレード・リクエストを操作することで、任意の内部/外部向けのトラフィックのプロキシを、未認証の攻撃者に許すものとなる。

これにより、内部ネットワークや機密性の高いクラウド・メタデータ・エンドポイントが露出する可能性がある。その一方で、Vercel によりホストされるデプロイメントについては、この脆弱性の影響を受けないことが確認されている。

緩和策

開発者は環境を保護するために、Next.js 15.5.16/16.2.6 へと、早急に更新する必要がある。即時更新が困難なチームに対して Vercel が推奨するのは、ミドルウェアのパスマッチングだけに依存するのではなく、ページロジック内部で直接認証を強制することである。

それに加え、リバース・プロキシで不正な WebSocket アップグレードを遮断し、信頼されていないトラフィックから内部ヘッダーを削除することで、これらの脅威を一時的に軽減することも可能である。なお、今回の重要なセキュリティ修正が含まれる Next.js 16.2.6 では、開発環境を効率化するためのパフォーマンス向上や、200 件を超える Turbopack 修正も同時に導入されている。

訳者後書:今回の脆弱性の主な原因は、リクエストの処理過程における検証不足や予期しない挙動にあります。たとえば CVE-2026-44575/CVE-2026-44574/CVE-2026-44573 では、特定の URL やパラメータを細工することで、ミドルウェアによる認証チェックが回避されてしまいます。 また、CVE-2026-23870/CVE-2026-44579 は、データの復元処理やリクエスト処理の不備が CPU の過負荷やデッドロックを引き起こし、サービス停止を招くものです。 さらに CVE-2026-44578 では WebSocket の仕組みを悪用した不正な通信の中継が問題となりました。ご利用のチームは、ご注意ください。よろしければ、Next.js での検索結果も、ご参照ください。