CVE-2026-41248

Critical(9.1)

CVE-2026-41248 — Clerk createRouteMatcher 認証バイパス

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
@clerk/nextjs	Clerk	< 5.7.6 / < 6.39.2 / < 7.2.1
@clerk/astro	Clerk	< 1.5.7 / < 2.17.10 / < 3.0.15
@clerk/nuxt	Clerk	< 1.13.28 / < 2.2.2
@clerk/shared	Clerk	< 2.22.1 / < 3.47.4 / < 4.8.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1@clerk/nextjs、@clerk/astro、@clerk/nuxtのバージョンを確認する
2影響バージョンの場合は修正バージョンへアップデートする
3アップデート後、認証が必要なルートへの未認証アクセスがないことを検証する

影響対象

Clerk認証利用プロジェクト

補足

-createRouteMatcherを使用した認証ミドルウェアが対象

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

Next.js のリリース情報 →

Astro のリリース情報 →

Nuxt のリリース情報 →

CVEClerkNext.js認証バイパス

概要

認証ライブラリ「Clerk」の createRouteMatcher 関数に認証バイパス脆弱性が存在します。@clerk/nextjs、@clerk/nuxt、@clerk/astroの各パッケージが影響を受けます。

特定の細工されたリクエストにより、ミドルウェアのゲーティングをスキップし、本来認証が必要なハンドラに直接到達できてしまいます。Clerkは特にNext.jsエコシステムで広く利用されている認証基盤であり、多くのプロダクション環境に影響する可能性があります。

CVSSベクトル

指標	値
CVSSスコア	9.1（Critical）
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な権限レベル	なし
CWE	CWE-436, CWE-863

影響を受けるソフトウェア

製品	影響バージョン	修正バージョン
@clerk/nextjs	5.7.5以前 / 6.39.1以前 / 7.2.0以前	5.7.6 / 6.39.2 / 7.2.1
@clerk/astro	1.5.6以前 / 2.17.9以前 / 3.0.14以前	1.5.7 / 2.17.10 / 3.0.15
@clerk/nuxt	1.13.27以前 / 2.2.1以前	1.13.28 / 2.2.2
@clerk/shared	2.22.0以前 / 3.47.3以前 / 4.8.0以前	2.22.1 / 3.47.4 / 4.8.1

修正バージョンと回避策

修正: 上記の修正バージョンへアップデート
回避策: アップデートが困難な場合、ミドルウェアで追加の認証チェックを実装

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41248

GHSA:https://github.com/clerk/javascript/security/advisories/GHSA-vqx2-fgx2-5wq9

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。