概要
React Server Components パッケージ の 脆弱性 に より、Next.js 13.x / 14.x / 15.x / 16.x の App Router を 使用 している アプリケーション に 対して、特定 の HTTP リクエスト を 送信 する こと で サービス 拒否(DoS)を 引き起こす こと が 可能 です。
上流 の React 側 で CVE-2026-23869 として 追跡 されて おり(GHSA-479c-33wc-g2pg)、Next.js 側 では GHSA-q4gf-8mx6-v5v3 として 公表 されて います。認証 不要 で リモート から 攻撃 可能 で、App Router を 使用 する すべて の Next.js アプリケーション が 影響 を 受けます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| 影響 の 範囲 | 変更 なし |
| 機密性 への 影響 | なし |
| 完全性 への 影響 | なし |
| 可用性 への 影響 | 高 |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン | 修正 バージョン |
|---|---|---|---|
| Next.js | Vercel | 15.x(15.5.15 未満) | 15.5.15 |
| Next.js | Vercel | 16.x(16.2.3 未満) | 16.2.3 |
| Next.js | Vercel | 13.x, 14.x | 15.5.15以降へ移行を推奨 |
App Router を 使用 して いない アプリケーション(Pages Router のみ)は 影響 を 受けません。
修正 バージョン と 回避策
- 修正: Next.js 15.5.15 / 16.2.3 へ アップデート
- 回避策: App Router を 使用 して いない 場合 は 影響 なし
- 確認 方法:
package.jsonのnextバージョン を 確認 し、app/ディレクトリ の 有無 で App Router の 使用 を 判断
関連 リンク
データソース: OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。