つみかさね
N

Next.js v16.2.5

リリース日: 2026-05-08データソース: GitHub Releases, npm, endoflife.date
影響度スコア
65/ 100影響度: 高
Breaking Changes0/40
新機能0/25
バグ修正5/20
セキュリティ15/15
依存関係5/15

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1テスト環境でv16.2.6にアップデートを検証
  2. 2各セキュリティアドバイザリの影響範囲を確認
  3. 3本番環境に即時適用
  4. 4動作確認を実施

影響対象

Next.js利用者Middleware利用者

補足

  • -High重要度のセキュリティ修正6件が含まれています
  • -npm registryでは既にv16.2.6が公開されています
Next.jsセキュリティDoSSSRFMiddleware

この変更が意味すること

Next.js v16.2.5 がリリースされました。本リリースはセキュリティ修正に特化しており、High 重要度の脆弱性が6件 修正されています。

DoS(Denial of Service)、Middleware / Proxy のバイパス、SSRF(Server-side Request Forgery)といった深刻な脆弱性への対応が含まれており、App Router・Pages Router の両方が影響を受けます。Next.js を本番環境で利用している場合は、即時のアップデートを推奨します。

主な変更点

GHSA-8h8q-6873-q5fj: Server Components における DoS

Server Components の処理に起因する Denial of Service 脆弱性が修正されました。攻撃者が特定のリクエストを送信することで、サーバーリソースを枯渇させる可能性がありました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-8h8q-6873-q5fj

GHSA-267c-6grr-h53f: segment-prefetch 経由の Middleware バイパス

App Router アプリケーションにおいて、segment-prefetch ルートを経由して Middleware / Proxy を迂回できる脆弱性が修正されました。認証ミドルウェアを使用している場合、この脆弱性により認証チェックがスキップされる可能性がありました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-267c-6grr-h53f

GHSA-mg66-mrh9-m8jx: Cache Components による接続枯渇 DoS

Cache Components を利用したアプリケーションにおいて、接続枯渇による Denial of Service が可能な脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-mg66-mrh9-m8jx

GHSA-492v-c6pp-mqqv: 動的ルートパラメータインジェクション

動的ルートパラメータのインジェクションにより Middleware / Proxy をバイパスできる脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-492v-c6pp-mqqv

GHSA-c4j6-fc7j-m34r: WebSocket 経由の SSRF

WebSocket アップグレードを利用した Server-side Request Forgery(SSRF)の脆弱性が修正されました。内部ネットワークへの不正アクセスに悪用される可能性がありました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r

GHSA-36qx-fr4f-26g5: Pages Router の Middleware バイパス

Pages Router アプリケーションにおける Middleware / Proxy バイパスの脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-36qx-fr4f-26g5

EOL / サポート状況

サイクル最新バージョンLTSEOL
1616.2.5Yes- (現行)
1515.5.16Yes2026-10-21
1414.2.35Yes2025-10-26 (EOL済)
1313.5.11-2024-12-21 (EOL済)

Next.js 14 以前は EOL 済みです。15 系は 2026年10月まで、16 系は現行サポート中です。セキュリティ修正は 15 系にもバックポートされている可能性がありますので、15 系利用者もリリースを確認してください。

開発者への影響

  1. 本番環境で Next.js を利用している全ユーザー: 6件の High 重要度脆弱性が修正されています。即時アップデートを推奨
  2. Middleware で認証を制御しているプロジェクト: 複数の Middleware バイパス脆弱性が修正されています。特に優先度が高い
  3. Server Components / Cache Components 利用者: DoS 脆弱性が修正されています
  4. WebSocket を利用しているプロジェクト: SSRF 脆弱性が修正されています

アップデート方法

npm レジストリでは既に v16.2.6 が公開されています。v16.2.5 以降へのアップデートで本セキュリティ修正が適用されます。

# npm
npm install next@16.2.6

# yarn
yarn add next@16.2.6

# pnpm
pnpm add next@16.2.6

# bun
bun add next@16.2.6

データソース: GitHub Releases API, endoflife.date, npm Registry AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

即時アップデートを推奨

アップデートすべき場合

  • Next.jsを本番環境で利用している場合
  • Middlewareで認証制御を行っている場合
  • Server ComponentsやCache Componentsを利用している場合

様子見でよい場合

  • 開発環境のみで利用しており外部公開していない場合

EOL / サポート状況

Next.js 16Active
Next.js 15ActiveEOL: 2026-10-21
Next.js 14End of LifeEOL: 2025-10-26
Next.js 13End of LifeEOL: 2024-12-21
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。