概要
Vercelは2026年5月7日、Next.jsのMay 2026セキュリティリリースを公開した。今回のリリースでは、DoS(サービス妨害)・ミドルウェアバイパス・キャッシュポイズニング・XSS・SSRFなど計13件の脆弱性が修正されている。修正はNext.js 15.5.18および16.2.6、ならびにReact 19系のreact-server-domパッケージ(19.0.6・19.1.7・19.2.6)に含まれる。WAFルールによる緩和は不可能であるため、影響を受けるバージョンを使用しているプロジェクトは直ちにアップグレードすることが強く推奨される。
修正された脆弱性の詳細
脆弱性は大きく3つのカテゴリに分類される。
ミドルウェア・プロキシバイパス(5件) は、認証機能に依存するアプリケーションへの影響が大きい。App Routerのセグメントプリフェッチを経由した認証回避が2件(高深刻度)、Pages Routerのi18nデフォルトロケールパスバイパス(高)、動的ルートパラメータインジェクションを介したバイパス(高)、ミドルウェアリダイレクトのキャッシュポイズニング(低)が含まれる。
サービス妨害(3件) は、React Server ComponentsやキャッシュコンポーネントなどNext.jsの主要機能に関連する。CVE-2026-23870はReact Server Components内のDoSとして高深刻度に分類されており、キャッシュコンポーネント利用時の接続枯渇(高)、画像最適化APIを経由したDoS(中)も修正された。
その他(5件) として、WebSocketアップグレード利用時のSSRF(高)、RSC関連のキャッシュポイズニング2件(中・低)、CSP nonce使用時のXSS(中)、untrustedデータを使用したbeforeInteractiveスクリプトのXSS(中)が含まれる。
対応方針
Vercelは、WAFルールによる一時的な緩和は今回の脆弱性には有効でないと明言しており、影響を受けるすべてのプロジェクトに対して修正済みバージョンへの即時アップグレードを求めている。Next.js 15系を利用している場合は15.5.18以上、16系を利用している場合は16.2.6以上に更新する必要がある。また、react-server-domパッケージを直接利用している場合は、対応するReact 19系の修正バージョンへの更新も合わせて行うべきである。今回の修正対象は広範なNext.jsの機能(App Router・Pages Router・画像最適化・WebSocket・RSC)にまたがっており、多くのプロダクション環境が潜在的な影響を受ける可能性がある点に注意が必要だ。