つみかさね
N

Next.js v16.1.7

major
リリース日: 2026-03-18データソース: GitHub Releases, npm, endoflife.date
影響度スコア
62/ 100影響度: 高
Breaking Changes5/40
新機能7/25
バグ修正12/20
セキュリティ15/15
依存関係5/15
Next.jsセキュリティCVEServer Actionsnext/image

この変更が意味すること

Next.js v16.1.7 は安定版ブランチへのバグ修正バックポートリリースです。canary ブランチの全機能・変更は含まれていませんが、4件のCVEセキュリティ修正が含まれており、実運用環境では早急な対応が必要です。

Server Action のプライバシー保護強化、next/image のディスクキャッシュ改善、dev 環境の WebSocket 接続制御、Postponed State サイズ制限の適用漏れ修正と、幅広い領域でセキュリティが強化されています。

加えて、Cache Components のストリーミング fetch がハングする問題の修正や、route handlers 内の node_modules に対する Server Actions 変換の適用など、開発体験に関わるバグ修正も含まれています。

主な変更点

セキュリティ修正: CVE-2026-27979(maxPostponedStateSize の適用漏れ)

maxPostponedStateSize の設定が常に尊重されるよう修正されました。Postponed State のサイズ制限をバイパスできる問題があり、意図しない大きさの状態データが保持される可能性がありました。

アドバイザリ: GHSA-h27x-g6w4-24gq

セキュリティ修正: CVE-2026-27980(next/image の LRU ディスクキャッシュ)

next/image に LRU ディスクキャッシュ機能が追加され、新しい設定オプション images.maximumDiskCacheSize が導入されました。画像キャッシュの管理が改善され、キャッシュに関連するセキュリティ上の懸念に対応しています。

アドバイザリ: GHSA-3x4c-7xq6-9pq8

セキュリティ修正: CVE-2026-27977(クロスサイト WebSocket 接続のブロック)

プライバシーに敏感なオリジンからのクロスサイト dev 専用 WebSocket 接続をブロックできるようになりました。開発環境で意図しないクロスサイト接続が確立されるリスクが軽減されます。

アドバイザリ: GHSA-jcc7-9wpm-mj36

セキュリティ修正: CVE-2026-27978(Server Action 送信のデフォルト禁止)

プライバシーに敏感なコンテキストからの Server Action 送信がデフォルトで禁止されるようになりました。意図しないコンテキストからの Server Action 実行を防止するセキュリティ強化です。

アドバイザリ: GHSA-mq59-m269-xvcx

Cache Components のストリーミング修正

dev 環境でストリーミング fetch 呼び出しがハングする問題が修正されました(#89194)。開発中に Cache Components を利用している場合の安定性が向上します。

Server Actions の node_modules 対応

route handlers 内の node_modules に対しても Server Actions の変換が適用されるようになりました(#89380)。サードパーティライブラリ内で Server Actions を利用するケースでの互換性が改善されます。

EOL / サポート状況

サイクル最新バージョンLTSEOL
1616.1.7LTS-
1515.5.13LTS2026-10-21
1414.2.35LTS2025-10-26 (EOL済)
1313.5.11-2024-12-21 (EOL済)

Next.js 16 は現在の LTS バージョンとしてアクティブにサポートされています。Next.js 14 以前は既に EOL のため、15 または 16 へのアップグレードを推奨します。

開発者への影響

  1. 全 Next.js 16 ユーザー: 4件の CVE セキュリティ修正を含むため、早急なアップデートを推奨します
  2. next/image 利用者: 新しい images.maximumDiskCacheSize 設定でディスクキャッシュのサイズ制限が可能になりました
  3. Server Actions 利用者: プライバシーに敏感なコンテキストからの送信がデフォルト禁止に変更されています。既存の動作に影響がないか確認してください
  4. dev 環境での Cache Components 利用者: ストリーミング fetch のハング問題が解消されます
  5. Next.js 14 以前の利用者: EOL 済みです。セキュリティ修正は提供されないため、16 系列へのアップグレードを検討してください

アップデート方法

# npm
npm install next@16.1.7

# pnpm
pnpm update next@16.1.7

# yarn
yarn upgrade next@16.1.7

データソース: GitHub Releases API, endoflife.date, npm Registry AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

!Breaking Changes (1件)

移行方法

アップデート判断

早急なアップデートを推奨

アップデートすべき場合

  • Next.js 16 を本番環境で利用している場合(CVE 4件の修正)
  • next/image を利用している場合(ディスクキャッシュのセキュリティ改善)
  • Server Actions を利用している場合(プライバシー保護の強化)

様子見でよい場合

  • 開発環境のみで利用しており外部公開していない場合
← v16.1.6

EOL / サポート状況

Next.js 16Active
Next.js 15ActiveEOL: 2026-10-21
Next.js 14End of LifeEOL: 2025-10-26
Next.js 13End of LifeEOL: 2024-12-21
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。