つみかさね

CVE-2026-44579

High(7.5)

CVE-2026-44579 — Next.js Cache Components におけるDoS(接続枯渇)

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.js (Partial Prerendering / Cache Components)Vercelv15.5.16 未満、v16.2.5 未満

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Partial Prerendering(Cache Components)機能を使用しているか確認
  2. 2Next.js v15.5.16 または v16.2.5 へアップデート
  3. 3アップデート前はリバースプロキシでのレート制限を検討

影響対象

Next.js (Partial Prerendering)

補足

  • -CVSS High — 可用性への影響が大きく、公開サービスでは早急な対応を推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Next.js のリリース情報 →
CVENext.jsDoSPartial Prerendering

概要

Next.js の Partial Prerendering(Cache Components)機能を使用するアプリケーションにおいて、サービス拒否(DoS)攻撃が可能となる脆弱性が発見されました。

Server Action に対する細工された POST リクエストにより、リクエストボディ処理のデッドロックが発生します。このデッドロックにより接続が長時間保持され、ファイルディスクリプタやサーバーリソースが消費されます。最終的に正当なユーザーがサービスを利用できなくなる可能性があります。

CVSSベクトル

項目
CVSSスコア7.5
深刻度High
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー操作不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.js (Partial Prerendering / Cache Components)Vercelv15.5.16 未満、v16.2.5 未満

修正バージョンと回避策

  • 修正バージョン: Next.js v15.5.16 または v16.2.5
  • 推奨対応: 速やかに修正バージョンへアップデートしてください
  • 暫定回避策: Partial Prerendering(Cache Components)を一時的に無効化する、またはリバースプロキシで POST リクエストのレート制限を設定する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44575Next.js Middleware/Proxy バイパスCVSS 7.5CVE-2026-44573Next.js Middleware Bypass (Pages Router i18n)CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-44579
GitHub Advisory:https://github.com/vercel/next.js/security/advisories/GHSA-mg66-mrh9-m8jx
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。