Next.js の脆弱性 CVE-2026-44578 が FIX:クラウド認証情報への不正アクセスの恐れ

Next.js Security Flaw Leaks Cloud Credentials, API Keys, and Admin Interfaces

2026/05/15 gbhackers — Next.js の深刻な脆弱性 CVE-2026-44578 を悪用する攻撃者は、機密性の高いクラウド認証情報/API キー/内部管理インターフェイスに対して不正にアクセスできる。広く利用される React フレームワークの 1つである Next.js の、特定のサーバサイド・デプロイメントにおける WebSocket アップグレード・リクエスト処理に、この脆弱性は起因する。

Next.js セキュリティ脆弱性

この脆弱性は、Node.js 内蔵サーバで動作するセルフホスト Next.js アプリケーションに影響する。対象となる Next.js のバージョンは、13.4.13 ~ 15.5.15/16.0.0 ~ 16.2.4 である。

この問題は、WebSocket アップグレード処理時の検証不備に起因し、Server-Side Request Forgery (SSRF) 状態を引き起こすと、Next.js メンテナーである Tim Neutkens が GitHub 上のアドバイザリで述べている。

細工された WebSocket アップグレード・リクエストを送信する攻撃者は、サーバが対象外とするディスティネーションへの通信転送を行わせることが可能になる。それらのディスティネーションには、内部サービス/クラウドインフラ・エンドポイント/メタデータ API が含まれる。これらのメタデータ API には、IAM 認証情報やアクセストークンなどの機密性の高い情報が格納されている場合が多い。

この脆弱性の悪用に際しては、認証は不要でありユーザー操作も不要であるため、インターネットに公開されている環境において、上記の資産は極めて危険な状態に置かれる。公開された Next.js アプリケーションを運用する組織にとって、CVSS スコア 8.6 の、ネットワーク経由の攻撃ベクターが生じている。

特に深刻なのは、クラウド・メタデータ・エンドポイント露出のリスクである。たとえば、AWS 上で動作するアプリケーションの場合、SSRF の脆弱性を悪用する攻撃者は、インスタンス・メタデータサービスへアクセスして一時的な認証情報の取得が可能になる。これにより権限昇格やクラウド環境内でのラテラル・ムーブメントも可能となる。

なお Vercel 上でホストされるアプリケーションは、この脆弱性の影響を受けない。このプラットフォームでは、安全ではないリクエスト・ルーティングを防止するための、追加防御が実装されているからである。

すでに Next.js チームは、修正版として 15.5.16/16.2.5 を公開している。これらのバージョンでは、WebSocket アップグレード・リクエストに対する検証が強化され、信頼された外部リライトのみを許可する設計となっている。これは、既存の HTTP セキュリティ制御と整合する実装である。

即時パッチ適用が困難な場合には、以下の緩和策が推奨される。

  • オリジン・サーバをインターネットへ直接公開しない。
  • Reverse Proxy や Load Balancer で不要な WebSocket アップグレード・リクエストを遮断する。
  • 内部エンドポイントやメタデータ・サービスへのアウトバウンド通信を制限する。

このインシデントが示すのは、バックエンドおよびクラウド・サービスと深く統合された、最新の Web フレームワークを高価値ターゲットとする脅威の傾向である。

SSRF 脆弱性への攻撃形態が進化し続ける中、開発者にとって必要なことは、ネットワーク制御および入力検証を強化し、意図しないデータ露出を防止することである。

本番環境で Next.js を利用する組織は、このパッチ適用を最優先とすべきである。さらに、クラウド認証情報や内部サービスの露出を最小化するよう、ネットワーク設計を見直す必要がある。

訳者後書:自社サーバ上で Next.js を使用する組織に影響を及ぼす、深刻な SSRF の脆弱性について解説する記事です。問題の原因は、WebSocket の通信切り替え処理において、接続先の検証が不十分だったことにあります。この脆弱性 CVE-2026-44578 を悪用する外部の攻撃者は、サーバに通信を中継させることで、内部サービスやクラウドの設定用 API にアクセスできるようになります。結果として、クラウドのアクセス権限や重要な API キーが盗まれるリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、Next.js での検索結果も、ご参照ください。