Vercel は2026年5月7日(現地時間)、Next.js のセキュリティリリースを実施したと発表した。このリリースでは、サービス拒否 (denial of service)、ミドルウェアおよびプロキシバイパス (middleware and proxy bypass)、サーバーサイドリクエストフォージェリ (server-side request forgery)、キャッシュポイズニング (cache poisoning)、クロスサイトスクリプティング (cross-site scripting) にわたる13件のアドバイザリに対処している。特に、React Server Componentsの脆弱性「CVE-2026-23870」も含まれており、影響を受ける全ユーザーに対し即時アップグレードを推奨している。
このセキュリティリリースは、様々なコンポーネントにわたる複数の脆弱性に対処している。
ミドルウェアおよびプロキシバイパス関連のアドバイザリは、認証にmiddleware.jsまたはproxy.jsに依存するアプリケーション、App Router (アップルーター) のsegment-prefetch URL、Pages Router (ページズルーター) のi18nデフォルトロケールパス、動的ルートパラメータインジェクション、Middlewareリダイレクトにおけるキャッシュポイズニングに影響する。
サービス拒否は、Server Functions、Partial Prerendering with Cache Components、またはImage Optimization API (イメージ最適化エーピーアイ) を使用するアプリケーションに影響を与える。特にReact Server ComponentsにおけるDoS (サービス拒否) は「CVE-2026-23870」として追跡されている。
サーバーサイドリクエストフォージェリ (SSRF) は、WebSocket のアップグレードリクエストを処理するアプリケーションに影響する。キャッシュポイズニングは、React Server Componentレスポンスの前にキャッシングレイヤーを持つアプリケーションにおける、RSCキャッシュバストにおける衝突によって発生する可能性がある。
クロスサイトスクリプティング (XSS) は、App RouterアプリケーションでCSP nonces (シーエスピー ノンス) を使用する場合、または信頼できない入力を消費するbeforeInteractiveスクリプトに影響を及ぼす。
これらの脆弱性は、パッチ適用済みのReactおよびNext.jsのリリースによって対処されている。パッチ適用は唯一の完全な軽減策であり、影響を受けるすべてのユーザーは直ちにアップグレードする必要がある。Vercelは、このリリースに関して新たなWAF (ワフ) ルールを展開しておらず、これらのアドバイザリはWAFレイヤーで確実にブロックすることはできないと発表した。
影響を受けるNext.js 13.xおよび14.xの全バージョンは15.5.18または16.2.6へ、Next.js 15.xでは<=15.5.17は15.5.18へ、Next.js 16.xでは<=16.2.5は16.2.6へアップグレードすることが推奨される。また、react-server-dom-*パッケージでは、19.0.xの<=19.0.5は19.0.6へ、19.1.xの<=19.1.6は19.1.7へ、19.2.xの<=19.2.5は19.2.6へアップグレードする。react-server-dom-*パッケージを使用するフレームワークやバンドラーは、それぞれのメンテナーが提供する最新バージョンをインストールする必要がある。
参考: Vercel Blog (アーカイブ) — 2026年5月7日 22:00 (JST)
原文ハイライト"all affected users should upgrade immediately."