つみかさね

CVE-2026-44573

High(7.5)

CVE-2026-44573 — Next.js Pages Router i18n 構成での Middleware バイパス

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.js (Pages Router + i18n)Vercelv15.5.16 未満、v16.2.5 未満

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Pages Router で i18n を構成しているか確認
  2. 2Middleware またはプロキシベースの認可に依存しているか確認
  3. 3Next.js v15.5.16 または v16.2.5 へアップデート
  4. 4アップデート前は getServerSideProps 内での認可チェック追加を検討

影響対象

Next.js (Pages Router + i18n)

補足

  • -CVSS High — Pages Router + i18n 構成のアプリケーションは早急な対応を推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Next.js のリリース情報 →
CVENext.js認可バイパスi18n

概要

Next.js の Pages Router で i18n(国際化)を構成しているアプリケーションにおいて、Middleware やプロキシベースの認可チェックをバイパスできる脆弱性が発見されました。

ロケールプレフィックスを含まない /_next/data/<buildId>/<page>.json リクエストに対して Middleware が実行されないため、攻撃者は保護されたページの SSR JSON データを認可チェックなしで取得できます。

CVSSベクトル

項目
CVSSスコア7.5
深刻度High
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー操作不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.js (Pages Router + i18n)Vercelv15.5.16 未満、v16.2.5 未満

修正バージョンと回避策

  • 修正バージョン: Next.js v15.5.16 または v16.2.5
  • 推奨対応: 速やかに修正バージョンへアップデートしてください
  • 暫定回避策: Middleware に加えて getServerSideProps 内で認可チェックを実装する、またはリバースプロキシで /_next/data パスへのアクセス制御を追加する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44575Next.js Middleware/Proxy バイパス (App Router)CVSS 7.5CVE-2026-44579Next.js DoS via Connection ExhaustionCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44573
GitHub Advisory:https://github.com/vercel/next.js/security/advisories/GHSA-36qx-fr4f-26g5
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。