Microsoft Warns of Hackers Attacking Developers with Malicious Next.js Repositories
2026/02/25 CyberSecurityNews — 正規の Next.js プロジェクトや技術評価資料を装う悪意のリポジトリを通じて、組織的かつ協調的な攻撃キャンペーンが進行中であり、ソフトウェア開発者たちが標的にされている。 攻撃者は求人をテーマとした偽装の手法を用い、偽の採用課題を提示することで開発者を誘導し、そのマシン上で改竄されたコードをクローン/実行させる。開発者がプロジェクトを実行すると、攻撃者が制御する Command-and-Control (C2) インフラへ密かに接続され、開発者のシステムおよび保存済みの機微データへのリモート・アクセスが許可される。
Continue reading “開発者を標的とするサプライチェーン攻撃:Next.js を悪用して偽装リポジトリを展開”Operation PCPcat Exploits Next.js and React, Impacting 59,000+ Servers
2025/12/24 gbhackers — 世界中の 59,000 台以上の Next.js サーバが、Operation PCPcat と呼ばれる高度な認証情報窃取キャンペーンにより侵害されている。このインシデントでは、Next.js フレームワーク (React ベース) に存在する深刻な脆弱性が悪用され、機密性の高い認証データが大規模に収集された。Beelzebub のセキュリティ研究者たちは、ハニーポット監視を通じて、このキャンペーンを発見した。さらに、攻撃者の C2 インフラに直接アクセスすることで、憂慮すべき被害規模や運用の実態を特定している。
Continue reading “Next.js/React を侵害する PCPcat:C2 インフラへのアクセスで判明したサーバ 59,000 台への侵害”Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability
2025/12/08 gbhackers — Next.js が発表したのは、深刻な React2Shell 脆弱性との戦いに用いる新たなツールのリリース情報である。この新しいスキャナーにより、開発チームに対してシンプルなワンライナー・ソリューションが提供され、Next.js/React Server Components (RSC) の脆弱なバージョンの特定および、必要なセキュリティ・アップデートの速やかな適用が可能になる。
Continue reading “Next.js 用の React2Shell スキャナーがリリース:影響を受けるアプリの自動検出とパッチ適用”PoC Exploit Released for Critical React, Next.js RCE Vulnerability (CVE-2025-55182)
2025/12/05 CyberSecurityNews — React Server Components に存在するリモート・コード実行 (RCE) 脆弱性 React2Shell に対する概念実証 (PoC) エクスプロイトが公開された。この脆弱性 CVE-2025-55182 は CVSS:10.0 と評価されており、世界中の開発者に警戒が高まっている。この脆弱性が影響を及ぼす範囲は、React のバージョン 19.0.0~19.2.0、および、App Router を使用する Next.js 15.x/16.x となる。サーバ機能を明示的に実装していないアプリケーションであっても、React Server Components (RSC) を使用している場合には影響を受ける可能性がある。
Continue reading “脆弱性 React2Shell CVE-2025-55182:PoC エクスプロイト公開により警戒高まる”New Scanner Released to Detect Exposed ReactJS and Next.js RSC Endpoints (CVE-2025-55182)
2025/12/04 gbhackers — 最新の Web アプリケーションに存在する、脆弱な React Server Component (RSC) エンドポイントを特定するための専用スキャンツールを、セキュリティ研究者たちがリリースした。このツールは、脆弱性 CVE-2025-55182 の検出における深刻なギャップを解消するものだ。新たに提供された Python ベースのスキャナーは、洗練されたサーフェス検出手法を導入することで、ユーザー組織における脆弱性 CVE-2025-55182 の評価方法を変革する。
Continue reading “ReactJS/Next.js の脆弱性 CVE-2025-55182:RSC エンドポイント検出ツールが提供された!”Critical React and Next.js Flaw Lets Remote Attackers Run Malicious Code
2025/12/04 gbhackers — React Server Components に存在する深刻なセキュリティ脆弱性を悪用する未認証の攻撃者は、この人気の Web フレームワークを実行するサーバ上での、悪意のコード実行の可能性を得る。この脆弱性は、React では CVE-2025-55182、Next.js では CVE-2025-66478 として追跡され、CVSS 値は 10.0 と評価されている。なお、この脆弱性が影響を及ぼす範囲は、開発者による設定変更が行われていない、デフォルト・コンフィグレーションの環境となる。
New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request
2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。
Continue reading “Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ”Critical Next.js Framework Vulnerability Let Attackers Bypass Authorization
2025/09/01 CyberSecurityNews — Next.js フレームワークに発見された、深刻な脆弱性 CVE-2025-29927 を悪用する攻撃者は、認証メカニズムを完全にバイパスするため、Web アプリケーションに深刻な脅威が生じている。この脆弱性は、Next.js ミドルウェア実行時の x-middleware-subrequest ヘッダの不適切な処理に起因し、機密性の高い管理領域や保護されたリソースへの不正アクセスを引き起こす可能性がある。
Continue reading “Next.jsフレームワークの脆弱性 CVE-2025-29927:新たな認証バイパス PoC ?”Next.js Vulnerability Allows Attackers to Trigger DoS via Cache Poisoning
2025/07/04 gbhackers — React ベースの Web フレームワークとして人気を博す Next.js において、深刻な脆弱性 CVE-2025-49826 が発見され、修正された。Vercel の報告によると、この Next.js の脆弱性はバージョン 15.1.0 以上、15.1.8 未満の範囲に存在し、キャッシュ・ポイズニングのバグを悪用する攻撃者は、影響を受けるアプリケーションにおいて、サービス拒否 (DoS) 状態を引き起こせる状況にある。
Continue reading “Next.js の脆弱性 CVE-2025-49826 が FIX:キャッシュ・ポイズニングによる DoS 攻撃”Open Next SSRF Flaw in Cloudflare Lets Hackers Fetch Data from Any Host
2025/06/19 gbhackers — @opennextjs/cloudflare パッケージに、深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性が発見された。それにより、Open Next の Cloudflare アダプターを用いて展開される Web サイトに、重大なセキュリティ・リスクが生じている。この脆弱性 CVE-2025-6087 の悪用に成功した未認証の攻撃者は、脆弱なサイトのドメインを経由して、任意のリモート・コンテンツをプロキシ化し、その結果として、フィッシング/データ漏洩/ドメインの悪用などを引き起こす可能性を手にする。
Continue reading “Cloudflare 版 Open Next の SSRF 脆弱性 CVE-2025-6087 が FIX:データ漏洩とドメイン悪用”Next.js Dev Server Vulnerability Leads to Developer Data Exposure
2025/05/30 gbhackers — 人気の Next.js フレームワークに発見された 脆弱性 CVE-2025-48068 が、開発者の間で懸念を引き起こしている。この脆弱性が影響を及ぼす範囲は、App Router が有効化されている Next.js のバージョン 13.0.0 〜 15.2.1 であり、Cross-site WebSocket Hijacking (CSWSH) を介して開発サーバを悪用する攻撃者に対して、機密性の高いアプリケーション・ソースコードを公開する可能性が生じる。
Continue reading “Next.js Dev Server の脆弱性 CVE-2025-48068 が FIX:WebSocket サーバにおけるオリジン検証の欠如”CISA Flags Two Six-Year-Old Sitecore Flaws Amid Active Exploitation Evidence
2025/03/27 TheHackerNews — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、活発に悪用されているという証拠に基づき、Sitecore CMS および Experience Platform (XP) に影響を与える2つのセキュリティ脆弱性を、KEV (Known Exploited Vulnerabilities) カタログに追加した。これらの脆弱性は、6年前に発見されたものである。
Continue reading “CISA KEV 警告 25/03/26:6年前に発見された Sitecore CMS/XP の脆弱性を登録”CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access
2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。
Continue reading “CrushFTP の HTTP(S) Port の脆弱性 CVE-2025-2825 が FIX:現時点で悪用の報告は無し”Urgent: Patch Your Next.js for Authorization Bypass (CVE-2025-29927)
2025/03/24 SecurityOnline — フルスタック Web アプリケーションの迅速かつ効率的な構築を支援する、人気の React フレームワーク Next.js の、深刻なセキュリティ脆弱性が対処された。世界の大企業などでも使用される Next.js は、最新の React 機能の拡張と、強力な Rust ベース JavaScript ツールの統合により、フルスタック Web アプリケーションを作成する一方で、ビルドの構築時間を大幅に短縮すると評価されている。
Continue reading “Next.js の深刻な認証バイパスの脆弱性 CVE-2025-29927 が FIX:旧バージョンのための回避策は?”Nuxt Users Beware: CVE-2025-27415 Opens the Door to Cache Poisoning Attacks
2025/03/24 SecurityOnline — 人気の Nuxt フレームワークで発見された脆弱性により、攻撃者に対して CDN キャッシュ・ポイズニングを許し、フルスタックの Vue.js アプリケーションへのアクセスが妨害される可能性が生じている。この Nuxt の脆弱性 CVE-2025-27415 (CVSS:7.5) は、バージョン 3.0.0〜3.16.0 未満に影響を及ぼす。
Continue reading “Nuxt の脆弱性 CVE-2025-27415 が FIX:CDN ポイズニングによる DoS 攻撃の可能性”Next.js Patches Denial-of-Service Vulnerability (CVE-2024-56332) in Server Actions
2025/01/03 SecurityOnline — 人気の React フレームワーク Next.js が公表したのは、Server Actions を用いるアプリケーションに対して、サービス拒否 (DoS) 攻撃が仕掛けられる可能性がある、セキュリティ脆弱性への対処である。この脆弱性 CVE-2024-56332 は、PackDraw チームにより検出/公開されたものだ。
Continue reading “Next.js の DoS 脆弱性 CVE-2024-56332 が FIX:Server Actions に悪用の恐れ”CVE-2024-51479: Next.js Authorization Bypass Vulnerability Affects Millions of Developers
2024/12/18 SecurityOnline — 世界中の開発者が愛用する React フレームワーク Next.js が公開したのは、機密性の高いアプリケーション・データへの不正アクセスを許す、セキュリティ脆弱性の存在である。この脆弱性 CVE-2024-51479 (CVSS:7.5) は、IERAE – GMO Cybersecurity の tyage により発見されたものであり、Next.js バージョン 9.5.5 〜14.2.14 に影響を及ぼすという。
Continue reading “Next.js の脆弱性 CVE-2024-51479 が FIX:認証バイパスと広範な影響”Next.js Vulnerability CVE-2024-46982: Cache Poisoning Exploit Threatens Deployments
2024/09/18 SecurityOnline — 進化のペースが速い Web 開発の世界では、常にセキュリティが懸念事項となっている。そのような傾向がみられるのは、特に Next.js のような、高トラフィックのアプリケーションを実行するプラットフォームにおいてとなる。前日に Next.js チームが公表したのは、このフレームワークの特定のバージョンに影響し、特定のデプロイメントがキャッシュ・ポイズニング攻撃にさらされる原因となる、新たな脆弱性 CVE-2024-46982 に関する情報である。
Continue reading “Next.js の脆弱性 CVE-2024-46982 が FIX:キャッシュ・ポイズニング攻撃の可能性”CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework
2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。
Continue reading “Next.js Framework の脆弱性 CVE-2024-34350/34351 が FIX:ただちにパッチを!”
IoT OT Security News 