ReactおよびNext.jsで多数のセキュリティ脆弱性が公開、即時パッチ適用を推奨

(developers.cloudflare.com)

1 ポイント投稿者 GN⁺ 2 시간 전 | まだコメントはありません。 | WhatsAppで共有

ReactチームとVercelは、React Server ComponentsとNext.jsに影響する12件のセキュリティ脆弱性を同時に公開し、アプリケーションの即時更新を強く推奨
サービス拒否（DoS）、ミドルウェアバイパス、SSRF、XSS、キャッシュポイズニングなど多様な攻撃ベクトルが含まれ、High 6件、Moderate 4件、Low 2件に分類
パッチ版としてReact 19.0.6/19.1.7/19.2.6とNext.js 15.5.16/16.2.5が提供され、Reactベースのサーバーフレームワークもあわせて更新が必要
一部の脆弱性はWAFなどのネットワークレベル防御では遮断不可能であり、アプリケーションコード自体へのパッチ適用が必須
Server Components、Pages Router、Image Optimization APIなど、Next.jsの広範な機能領域にわたって脆弱性が分布しており、影響範囲が広い

影響を受けるパッケージとパッチ版

React関連のパッチ対象: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — それぞれ 19.0.6, 19.1.7, 19.2.6 への更新が必要
Next.jsのパッチ対象: 15.5.16 および 16.2.5
Vinext、OpenNext、TanStack Start などのReactベースのサーバーフレームワークを利用している場合は、該当フレームワークも最新バージョンへあわせて更新が必要

CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Componentsのサービス拒否（DoS）
- ReactとNext.jsの両方に影響する脆弱性
GHSA-267c-6grr-h53f — segment-prefetchルートを通じたミドルウェアバイパス
GHSA-mg66-mrh9-m8jx — Cache Components の接続枯渇（connection exhaustion）によるサービス拒否
GHSA-492v-c6pp-mqqv — 動的ルートのパラメータ注入によるミドルウェアバイパス
- WAFルールで安全に遮断できず、アプリケーションの動作を壊す可能性がある
GHSA-c4j6-fc7j-m34r — WebSocketアップグレードによるSSRF（サーバーサイドリクエストフォージェリ）
- WAFルールで安全に遮断できない
GHSA-36qx-fr4f-26g5 — Pages Router i18n のミドルウェアバイパス

ネットワークレベル（WAF）で遮断可能な脆弱性はDoS系の一部に限られ、既存のReact Server Component CVE対応ルールが新しいDoS脆弱性にも適用される
ミドルウェアバイパス、SSRF、XSSなど多数のHigh重大度脆弱性はWAFで安全に遮断できず、アプリケーションコードのパッチ適用が唯一の対処手段
カスタムWAFルールで対応可能な項目もあるが、グローバルmanagedルールとして適用するとアプリケーションの動作を壊すリスクがある

Vinext: アーキテクチャが標準のNext.jsと異なるため、公開されたCVEの影響を受けない
- PPR resumeプロトコルを未実装、Pages Router data-routeエンドポイントを非公開、x-nextjs-data などの内部ヘッダーをリクエスト境界で除去
- 追加防御として、vinext init 時にReact 19.2.6 以上を要求するよう変更
OpenNext: アダプター自体は直接の脆弱性を持たないが、ユーザーがアプリケーションのNext.jsバージョンを直接更新する必要がある
- アダプターをさらに強化した新バージョンをリリース済み