概要
Next.jsのビルトインNode.jsサーバーを使用してセルフホストしている環境において、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。細工されたWebSocketアップグレードリクエストを送信することで、攻撃者はサーバーに任意の内部または外部の宛先へリクエストをプロキシさせることが可能です。
この脆弱性を悪用されると、通常外部からアクセスできない内部サービスやクラウドメタデータエンドポイント(例: AWS IMDSv1)が露出する恐れがあります。Vercelでホストされたデプロイメントは影響を受けません。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.6(High) |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
| CWE | CWE-918(サーバーサイドリクエストフォージェリ) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権レベル(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| スコープ(S) | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
影響を受けるソフトウェア
- Next.js: ビルトインNode.jsサーバーを使用したセルフホスト環境
- v15系: 15.5.16 未満
- v16系: 16.2.5 未満
- 対象外: Vercelでホストされたデプロイメント
修正バージョンと回避策
- Next.js v15.5.16 または v16.2.5 へアップデートしてください
- セルフホスト環境でリバースプロキシを使用している場合は、WebSocketアップグレードリクエストの検証を強化することを推奨します
- クラウド環境ではIMDSv2の使用やネットワークポリシーによるメタデータエンドポイントへのアクセス制限も有効です
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。