つみかさね

CVE-2026-23870

High(7.5)

CVE-2026-23870 — React Server Components デシリアライズDoS

公開日: 2026-05-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.jsVercel13.x, 14.x, < 15.5.16, < 16.2.5
React Server ComponentsMeta19.x系の影響パッケージ

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Next.jsのバージョンを確認する(App Router使用時)
  2. 215.5.16 / 16.2.5 以降へアップデートする
  3. 3アップデートが困難な場合はWAF等でServer Functionエンドポイントのレート制限を設定する

影響対象

Next.js App Router利用者React Server Components利用者

補足

  • -Next.js 13.x / 14.x を使用中の場合は15.5.16以降へのメジャーアップグレードが必要

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Next.js のリリース情報 →
R
React のリリース情報 →
CVEReactNext.jsServer ComponentsDoS

概要

React Server Componentsパッケージ(19.x系)および、それを使用するフレームワーク(Next.js 13.x、14.x、15.x、16.x のApp Router)に、サービス拒否(DoS)の脆弱性が存在します。

細工されたHTTPリクエストがApp RouterのServer Functionエンドポイントに送信されると、デシリアライズ処理で過剰なCPU使用が発生し、サービス拒否状態を引き起こす可能性があります。

App Routerを使用しているNext.jsアプリケーションが広く影響を受ける脆弱性です。Server Actionsやその他のServer Functionを公開している環境では、特にインターネットに直接公開されているサービスで対応を検討してください。

CVSSベクトル

項目
CVSSスコア7.5(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
影響の想定範囲変更なし
可用性への影響

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.jsVercel13.x, 14.x, 15.x(< 15.5.16), 16.x(< 16.2.5)
React Server ComponentsMeta (Facebook)19.x系の影響パッケージ

修正バージョンと回避策

  • 修正: Next.js 15.5.16 / 16.2.5 以降へアップデート
  • 回避策: Server Functionエンドポイントへのアクセスをレート制限する、WAFでリクエストサイズを制限する

関連リンク

データソース: OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44578Next.js WebSocket upgrade経由のSSRFCVSS 8.6CVE-2026-44574Next.js dynamic routeパラメータインジェクション認可バイパスCVSS 8.1CVE-2026-44579Next.js Cache Components接続枯渇DoSCVSS 7.5

参考リンク

GitHub (React):https://github.com/facebook/react/security/advisories/GHSA-rv78-f8rc-xrxh
GitHub (Next.js):https://github.com/vercel/next.js/security/advisories/GHSA-8h8q-6873-q5fj
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-23870
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。