つみかさね

CVE-2026-45109

High(7.5)

CVE-2026-45109 — Next.js Turbopack環境でのMiddlewareバイパス

公開日: 2026-05-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Next.js(Turbopack)Vercel< 15.5.18 / < 16.2.6

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1影響を受けるバージョンを使用しているか確認する
  2. 2修正バージョンへのアップデートまたはパッチ適用を実施する
  3. 3アップデートが困難な場合は回避策を適用する

影響対象

Next.js Turbopack利用者

補足

  • -CVE-2026-44575の修正済みバージョンでもTurbopack環境では本脆弱性が残存するため、追加アップデートが必要です

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Next.js のリリース情報 →
CVENext.jsTurbopackMiddleware認可バイパス

概要

Next.jsにおいて、以前報告されたMiddlewareバイパス脆弱性(CVE-2026-44575)の修正が、Turbopack環境のmiddleware.tsに対して適用されていなかったことが判明しました。これはsegment-prefetchに関連するMiddlewareバイパスの不完全な修正に対するフォローアップです。

Turbopackを使用した開発環境やビルドにおいて、middleware.tsによる認可チェックが迂回される可能性があります。CVE-2026-44575の修正を適用済みであっても、Turbopack環境では引き続き脆弱な状態にある点に注意が必要です。

CVSSベクトル

項目
CVSSスコア7.5(High)
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CWEMiddlewareバイパス(不完全な修正)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
スコープ(S)変更なし
機密性への影響(C)
完全性への影響(I)なし
可用性への影響(A)なし

影響を受けるソフトウェア

  • Next.js(Turbopack使用環境):
    • v15系: 15.5.18 未満
    • v16系: 16.2.6 未満
  • CVE-2026-44575の修正済みバージョンであっても、Turbopack環境では本脆弱性の影響を受けます

修正バージョンと回避策

  • Next.js v15.5.18 または v16.2.6 へアップデートしてください
  • Turbopackを使用していない環境(Webpack利用)では影響を受けない可能性がありますが、念のためアップデートを推奨します
  • アップデートが困難な場合は、Middlewareに加えてサーバーサイドでの認可チェックを実装する多層防御を検討してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-44575Next.js segment-prefetch MiddlewareバイパスCVSS

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45109
GitHub Advisory:https://github.com/vercel/next.js/security/advisories/GHSA-26hh-7cqf-hhc6
GitHub Advisory (CVE-2026-44575):https://github.com/vercel/next.js/security/advisories/GHSA-267c-6grr-h53f
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。