つみかさね
N

Next.js v16.2.6

リリース日: 2026-05-09データソース: GitHub Releases, npm, endoflife.date
影響度スコア
60/ 100影響度: 高
Breaking Changes0/40
新機能0/25
バグ修正5/20
セキュリティ15/15
依存関係5/15

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1テスト環境でv16.2.6にアップデートを検証
  2. 2GHSA-26hh-7cqf-hhc6の影響範囲を確認
  3. 3本番環境に即時適用
  4. 4動作確認を実施

影響対象

Next.js利用者Middleware利用者

補足

  • -v16.2.5の修正が不完全だったためv16.2.6への更新が必要です
  • -Next.js 15系はv15.5.18でバックポートが提供されています
Next.jsセキュリティMiddlewareDoSSSRF

この変更が意味すること

Next.js v16.2.6 がリリースされました。前日の v16.2.5 に含まれていた GHSA-267c-6grr-h53f(segment-prefetch ルート経由の Middleware / Proxy バイパス)の修正が不完全だったため、追加の対応として GHSA-26hh-7cqf-hhc6 が新たに修正されています。

v16.2.5 で適用されたセキュリティ修正に加えて、この不完全修正のフォローアップが含まれるため、v16.2.5 にアップデート済みの方も v16.2.6 への更新が必要です。特に Middleware で認証やアクセス制御を行っているプロジェクトは、バイパスの可能性が残存するため優先的に対応してください。

なお、Next.js 15 系にもバックポートリリース v15.5.18 が公開されています。

主な変更点

GHSA-26hh-7cqf-hhc6: Middleware バイパスの不完全修正フォローアップ(v16.2.6 で新規)

v16.2.5 で修正された GHSA-267c-6grr-h53f(App Router アプリケーションにおける segment-prefetch ルート経由の Middleware / Proxy バイパス)の修正が不完全であったため、追加の対応が行われました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-26hh-7cqf-hhc6

GHSA-8h8q-6873-q5fj: Server Components における DoS

Server Components の処理に起因する Denial of Service 脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-8h8q-6873-q5fj

GHSA-267c-6grr-h53f: segment-prefetch 経由の Middleware バイパス

App Router アプリケーションにおいて、segment-prefetch ルートを経由して Middleware / Proxy を迂回できる脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-267c-6grr-h53f

GHSA-mg66-mrh9-m8jx: Cache Components による接続枯渇 DoS

Cache Components を利用したアプリケーションにおいて、接続枯渇による Denial of Service が可能な脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-mg66-mrh9-m8jx

GHSA-492v-c6pp-mqqv: 動的ルートパラメータインジェクション

動的ルートパラメータのインジェクションにより Middleware / Proxy をバイパスできる脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-492v-c6pp-mqqv

GHSA-c4j6-fc7j-m34r: WebSocket 経由の SSRF

WebSocket アップグレードを利用した Server-side Request Forgery(SSRF)の脆弱性が修正されました。

詳細: https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r

EOL / サポート状況

サイクル最新バージョンLTSEOL
1616.2.6Yes- (現行)
1515.5.18Yes2026-10-21
1414.2.35Yes2025-10-26 (EOL済)
1313.5.11-2024-12-21 (EOL済)

Next.js 15 系にもセキュリティ修正がバックポートされています(v15.5.18)。15 系利用者もリリースを確認してください。14 以前は EOL 済みです。

開発者への影響

  1. v16.2.5 にアップデート済みの方: segment-prefetch バイパスの修正が不完全だったため v16.2.6 への追加更新が必要
  2. Middleware で認証を制御しているプロジェクト: 複数の Middleware バイパス脆弱性が修正されています。特に優先度が高い
  3. Next.js 15 系利用者: v15.5.18 でバックポートが提供されています。確認・更新してください
  4. Next.js 14 以前の利用者: EOL 済みのためバックポートは提供されません。16 系への移行を推奨

アップデート方法

# npm
npm install next@16.2.6

# yarn
yarn add next@16.2.6

# pnpm
pnpm add next@16.2.6

# bun
bun add next@16.2.6

# Next.js 15系の場合
npm install next@15.5.18

データソース: GitHub Releases API, endoflife.date, npm Registry AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

即時アップデートを推奨

アップデートすべき場合

  • Next.jsを本番環境で利用している場合
  • v16.2.5にアップデート済みでもsegment-prefetchバイパスの完全修正が必要
  • Middlewareで認証制御を行っている場合

様子見でよい場合

  • 開発環境のみで利用しており外部公開していない場合

EOL / サポート状況

Next.js 16Active
Next.js 15ActiveEOL: 2026-10-21
Next.js 14End of LifeEOL: 2025-10-26
Next.js 13End of LifeEOL: 2024-12-21
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。