つみかさね

CVE-2026-44574

High(8.1)

CVE-2026-44574 — Next.js 動的ルートパラメータによるMiddlewareバイパス

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.jsVercel< 15.5.16 / < 16.2.5

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1影響を受けるバージョンを使用しているか確認する
  2. 2修正バージョンへのアップデートまたはパッチ適用を実施する
  3. 3アップデートが困難な場合は回避策を適用する

影響対象

Next.js利用者(Middlewareで認可制御を行っている環境)

補足

  • -Middlewareのみに認可を依存している場合は、サーバーサイドでも認可チェックを追加することを推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Next.js のリリース情報 →
CVENext.jsMiddleware認可バイパスセキュリティ

概要

Next.jsにおいて、Middlewareによる認可チェックに依存して動的ルートを保護しているアプリケーションに、認可バイパスの脆弱性が存在します。攻撃者は細工されたクエリパラメータを使用することで、ページが受け取る動的ルートの値を変更しながらも、URLのパス部分は変わらないようにすることが可能です。

これにより、Middlewareの認可チェックを通過せずに保護されたコンテンツがレンダリングされる状況が発生します。認可ロジックをMiddlewareのみに依存している場合、想定外のデータやページへのアクセスを許してしまう恐れがあります。

CVSSベクトル

項目
CVSSスコア8.1(High)
ベクトルCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CWE認可バイパス
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)
ユーザー関与(UI)不要
スコープ(S)変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)なし

影響を受けるソフトウェア

  • Next.js: Middlewareで動的ルートの認可制御を行っているアプリケーション
    • v15系: 15.5.16 未満
    • v16系: 16.2.5 未満

修正バージョンと回避策

  • Next.js v15.5.16 または v16.2.5 へアップデートしてください
  • アップデートが即座に困難な場合、Middleware以外の層(サーバーサイドのページコンポーネントやAPIルート内)でも認可チェックを実施する多層防御を推奨します
  • 動的ルートパラメータの値がMiddlewareとページコンポーネントで一致しているかの検証も有効です

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44574
GitHub Advisory:https://github.com/vercel/next.js/security/advisories/GHSA-492v-c6pp-mqqv
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。