Vercel Blog·2026年5月7日 22:00·約3分

Next.js の 2026 年 5 月セキュリティアップデート発表

#Next.js #React Server Components #Web Security #CVE-2026-23870 #Vercel

TL;DR

Vercel は Next.js および React の重大なセキュリティ脆弱性 13 件に対する協調リリースを発表し、認証バイパスやサービス不能攻撃（DoS）などの深刻なリスクに対応するため即時のアップグレードを緊急要請している。

AI深層分析2026年5月8日 11:02

最重要/ 5段階

深度40%

キーポイント

多角的な重大脆弱性の修正

認証バイパス、サーバーサイドリクエスト forgery (SSRF)、キャッシュポイズニング、クロスサイトスクリプティング（XSS）など、13 の異なるカテゴリにわたるセキュリティ問題が修正された。

React Server Components 固有のリスク

アップストリームの React Server Components に起因する CVE-2026-23870（DoS）や、キャッシュコンポーネントを介した接続枯渇攻撃など、モダンなアーキテクチャ特有の脆弱性が含まれている。

WAF による回避不可と即時アップグレードの必要性

これらの脆弱性は WAF ルールでは信頼性を持ってブロックできないため、パッチ適用（Next.js 15.5.18/16.2.6 および React パッケージ）が唯一の完全な対策となる。

広範なバージョン範囲への影響

Next.js 13.x から 16.x、および React のサーバー DOM パッケージに至るまで、多くの既存バージョンが影響を受けており、全ユーザーの即座の対応が求められている。

影響分析・編集コメントを表示

影響分析

このリリースは、現代の Web フレームワークにおけるセキュリティ基盤の根幹を揺るがす複数の脆弱性を同時に修正した極めて重要な出来事であり、Next.js を採用する大規模な Web アプリケーションや SaaS プロダクトにとって即座の実行を要する緊急事態である。特に WAF での防御が効かない点は、開発者が依存していた従来のセキュリティ対策の限界を示しており、サプライチェーン全体での迅速なパッチ適用プロセスの再確認を迫るものである。

編集コメント

今回の一斉リリースは、Next.js の主要機能であるミドルウェアやキャッシュ機構に潜む深刻な欠陥を突いたものであり、セキュリティ担当者は即座に影響を受ける環境の特定とアップグレード計画の実行を開始すべきです。

概要

Next.js に対して、サービス拒否（DoS）、ミドルウェアおよびプロキシのバイパス、サーバーサイドリクエストフォージ（SSRF）、キャッシュポイズニング、クロスサイトスクリプティング（XSS）にわたる 13 のセキュリティアドバイザリーに対応した調整済みのセキュリティリリースを公開しました。そのうち 1 つのアドバイザリーは、CVE-2026-23870 として追跡されているアップストリーム React Server Components の脆弱性に対処するものです。

推奨される対応

React および Next.js 両方に対してパッチ済みバージョンが利用可能となっています。影響を受けるすべてのユーザーは直ちにアップグレードを行うべきです。

影響範囲

本リリースでは、以下のアドバイザリーに対応しています:

ミドルウェアおよびプロキシのバイパス

認証に middleware.js または proxy.js に依存するアプリケーションに影響します。

高: App Router のセグメントプリフェッチ URL を経由した認証バイパス

高: App Router のセグメントプリフェッチバイパス、不完全な修正後のフォローアップ対応

高: Pages Router の i18n デフォルトロケールパスによるプロキシ認証のバイパス

高: 動的ルートパラメータ注入を介したバイパス

低: ミドルウェアのリダイレクトがキャッシュポイズニングされる可能性

サービス拒否（DoS）

Server Functions、Cache Components を用いた部分的プリレンダリング、または Image Optimization API を使用するアプリケーションに影響します。

高: React Server Components における DoS（アップストリームで CVE-2026-23870 として追跡中）

高: Cache Components を使用したアプリケーションにおける接続枯渇を介した DoS

中程度: Image Optimization API を介した DoS

サーバーサイドリクエストフォージ（SSRF）

WebSocket アップグレードリクエストを処理するアプリケーションに影響します。

高: WebSocket アップグレードを使用するアプリケーションにおける SSRF

キャッシュポイズニング

React Server Component のレスポンスの前方にキャッシュ層を備えたアプリケーションに影響します。

中程度：React Server Component レスポンスにおけるキャッシュ汚染

低：RSC キャッシュバスタリングにおける衝突によるキャッシュ汚染

クロスサイトスクリプティング (XSS)

App Router で CSP ノンces を使用している、または信頼できない入力を消費する beforeInteractive スクリプトを使用しているアプリケーションに影響します。

中程度：CSP ノンces を使用する App Router アプリケーションにおける XSS

中程度：信頼できない入力を含む beforeInteractive スクリプトにおける XSS

解決策

これらの脆弱性は、React および Next.js のパッチ適用済みリリースによって修正されています。パッチ適用が唯一の完全な対策であり、影響を受けるすべてのユーザーは直ちにアップグレードする必要があります。

Vercel は今回のリリースに対して新しい WAF (Web Application Firewall) ルールを展開していません。これらの勧告は WAF レイヤーで確実にブロックすることはできません。

影響を受けるバージョン

パッケージ

影響範囲

アップグレード先

Next.js 13.x, 14.x

すべてのバージョン

15.5.18 または 16.2.6

Next.js 15.x

<=15.5.17

15.5.18

Next.js 16.x

<=16.2.5

16.2.6

react-server-dom-* 19.0.x

<=19.0.5

19.0.6

react-server-dom-* 19.1.x

<=19.1.6

19.1.7

react-server-dom-* 19.2.x

<=19.2.5

19.2.6

修正済みバージョン

Next.js: 15.5.18, 16.2.6

React: react-server-dom-parcel、react-server-dom-webpack および react-server-dom-turbopack パッケージに対して 19.0.6、19.1.7、19.2.6

react-server-dom-* パッケージを使用しているフレームワークおよびバンドラは、それぞれのメンテナが提供する最新バージョンをインストールする必要があります。

参照

Upstream React advisory (CVE-2026-23870)

詳細を読む

原文を表示

Summary

We have shipped a coordinated security release for Next.js addressing 13 advisories across denial of service, middleware and proxy bypass, server-side request forgery, cache poisoning, and cross-site scripting. One advisory addresses an upstream React Server Components vulnerability tracked as CVE-2026-23870.

Recommended actions

Patched versions are available for both React and Next.js, and all affected users should upgrade immediately.

Impact

The release addresses the following advisories:

Middleware and proxy bypass

Affects applications that rely on middleware.js or proxy.js for authorization.

High: Auth bypass via App Router segment-prefetch URL

High: App Router segment-prefetch bypass, incomplete fix follow-up

High: Pages Router i18n default-locale path bypasses proxy authorization

High: Bypass via dynamic route parameter injection

Low: Middleware redirects can be cache-poisoned

Denial of service

Affects applications using Server Functions, Partial Prerendering with Cache Components, or the Image Optimization API.

High: DoS in React Server Components (tracked upstream as CVE-2026-23870)

High: DoS via connection exhaustion in applications using Cache Components

Moderate: DoS via the Image Optimization API

Server-side request forgery

Affects applications that handle WebSocket upgrade requests.

High: SSRF in applications using WebSocket upgrades

Cache poisoning

Affects applications with caching layers in front of React Server Component responses.

Moderate: Cache poisoning in React Server Component responses

Low: Cache poisoning via collisions in RSC cache-busting

Cross-site scripting

Affects applications using CSP nonces in App Router, or beforeInteractive scripts that consume untrusted input.

Moderate: XSS in App Router applications using CSP nonces

Moderate: XSS in beforeInteractive scripts with untrusted input

Resolution

These vulnerabilities are addressed by the patched releases of React and Next.js. Patching is the only complete mitigation, and all affected users should upgrade immediately.

Vercel has not deployed new WAF rules for this release; these advisories cannot be reliably blocked at the WAF layer.

Affected versions

Package

Affected

Upgrade to

Next.js 13.x, 14.x

all versions

15.5.18 or 16.2.6

Next.js 15.x

<=15.5.17

15.5.18

Next.js 16.x

<=16.2.5

16.2.6

react-server-dom-* 19.0.x

<=19.0.5

19.0.6

react-server-dom-* 19.1.x

<=19.1.6

19.1.7

react-server-dom-* 19.2.x

<=19.2.5

19.2.6

Fixed in

Next.js: 15.5.18, 16.2.6

React: 19.0.6, 19.1.7, 19.2.6 for the react-server-dom-parcel, react-server-dom-webpack and react-server-dom-turbopack packages

Frameworks and bundlers using react-server-dom-* packages should install the latest versions provided by their respective maintainers.

References

Upstream React advisory (CVE-2026-23870)

この記事をシェア

Vercel Blog2026年6月26日 17:00

Vercel CLI から Web アナリティクスデータを照会可能に

Vercel Blog重要度42026年6月25日 16:00

AI SDK 7 が利用可能に

Vercel Blog重要度42026年6月25日 16:00

Vercel でエージェントに製品デザインを教える

今日のまとめ

AI日報で今日の重要ニュースをまとめ読み

ニュース一覧に戻る元記事を読む

Vercel Blog·2026年5月7日 22:00·約3分

Next.js の 2026 年 5 月セキュリティアップデート発表

#Next.js #React Server Components #Web Security #CVE-2026-23870 #Vercel

TL;DR

AI深層分析2026年5月8日 11:02

最重要/ 5段階

深度40%

キーポイント

多角的な重大脆弱性の修正

React Server Components 固有のリスク

WAF による回避不可と即時アップグレードの必要性

広範なバージョン範囲への影響

影響分析・編集コメントを表示

影響分析

編集コメント

概要

推奨される対応

影響範囲

本リリースでは、以下のアドバイザリーに対応しています:

ミドルウェアおよびプロキシのバイパス

認証に middleware.js または proxy.js に依存するアプリケーションに影響します。

高: App Router のセグメントプリフェッチ URL を経由した認証バイパス

高: App Router のセグメントプリフェッチバイパス、不完全な修正後のフォローアップ対応

高: Pages Router の i18n デフォルトロケールパスによるプロキシ認証のバイパス

高: 動的ルートパラメータ注入を介したバイパス

低: ミドルウェアのリダイレクトがキャッシュポイズニングされる可能性

サービス拒否（DoS）

Server Functions、Cache Components を用いた部分的プリレンダリング、または Image Optimization API を使用するアプリケーションに影響します。

高: React Server Components における DoS（アップストリームで CVE-2026-23870 として追跡中）

高: Cache Components を使用したアプリケーションにおける接続枯渇を介した DoS

中程度: Image Optimization API を介した DoS

サーバーサイドリクエストフォージ（SSRF）

WebSocket アップグレードリクエストを処理するアプリケーションに影響します。

高: WebSocket アップグレードを使用するアプリケーションにおける SSRF

キャッシュポイズニング

React Server Component のレスポンスの前方にキャッシュ層を備えたアプリケーションに影響します。

中程度：React Server Component レスポンスにおけるキャッシュ汚染

低：RSC キャッシュバスタリングにおける衝突によるキャッシュ汚染

クロスサイトスクリプティング (XSS)

中程度：CSP ノンces を使用する App Router アプリケーションにおける XSS

中程度：信頼できない入力を含む beforeInteractive スクリプトにおける XSS

解決策

影響を受けるバージョン

パッケージ

影響範囲

アップグレード先

Next.js 13.x, 14.x

すべてのバージョン

15.5.18 または 16.2.6

Next.js 15.x

<=15.5.17

15.5.18

Next.js 16.x

<=16.2.5

16.2.6

react-server-dom-* 19.0.x

<=19.0.5

19.0.6

react-server-dom-* 19.1.x

<=19.1.6

19.1.7

react-server-dom-* 19.2.x

<=19.2.5

19.2.6

修正済みバージョン

Next.js: 15.5.18, 16.2.6

React: react-server-dom-parcel、react-server-dom-webpack および react-server-dom-turbopack パッケージに対して 19.0.6、19.1.7、19.2.6

参照

Upstream React advisory (CVE-2026-23870)

詳細を読む

原文を表示

Summary

Recommended actions

Patched versions are available for both React and Next.js, and all affected users should upgrade immediately.

Impact

The release addresses the following advisories:

Middleware and proxy bypass

Affects applications that rely on middleware.js or proxy.js for authorization.

High: Auth bypass via App Router segment-prefetch URL

High: App Router segment-prefetch bypass, incomplete fix follow-up

High: Pages Router i18n default-locale path bypasses proxy authorization

High: Bypass via dynamic route parameter injection

Low: Middleware redirects can be cache-poisoned

Denial of service

Affects applications using Server Functions, Partial Prerendering with Cache Components, or the Image Optimization API.

High: DoS in React Server Components (tracked upstream as CVE-2026-23870)

High: DoS via connection exhaustion in applications using Cache Components

Moderate: DoS via the Image Optimization API

Server-side request forgery

Affects applications that handle WebSocket upgrade requests.

High: SSRF in applications using WebSocket upgrades

Cache poisoning

Affects applications with caching layers in front of React Server Component responses.

Moderate: Cache poisoning in React Server Component responses

Low: Cache poisoning via collisions in RSC cache-busting

Cross-site scripting

Affects applications using CSP nonces in App Router, or beforeInteractive scripts that consume untrusted input.

Moderate: XSS in App Router applications using CSP nonces

Moderate: XSS in beforeInteractive scripts with untrusted input

Resolution

These vulnerabilities are addressed by the patched releases of React and Next.js. Patching is the only complete mitigation, and all affected users should upgrade immediately.

Vercel has not deployed new WAF rules for this release; these advisories cannot be reliably blocked at the WAF layer.

Affected versions

Package

Affected

Upgrade to

Next.js 13.x, 14.x

all versions

15.5.18 or 16.2.6

Next.js 15.x

<=15.5.17

15.5.18

Next.js 16.x

<=16.2.5

16.2.6

react-server-dom-* 19.0.x

<=19.0.5

19.0.6

react-server-dom-* 19.1.x

<=19.1.6

19.1.7

react-server-dom-* 19.2.x

<=19.2.5

19.2.6

Fixed in

Next.js: 15.5.18, 16.2.6

React: 19.0.6, 19.1.7, 19.2.6 for the react-server-dom-parcel, react-server-dom-webpack and react-server-dom-turbopack packages

Frameworks and bundlers using react-server-dom-* packages should install the latest versions provided by their respective maintainers.

References

Upstream React advisory (CVE-2026-23870)

この記事をシェア

Vercel Blog2026年6月26日 17:00

Vercel CLI から Web アナリティクスデータを照会可能に

Vercel Blog重要度42026年6月25日 16:00

AI SDK 7 が利用可能に

Vercel Blog重要度42026年6月25日 16:00

Vercel でエージェントに製品デザインを教える

今日のまとめ

AI日報で今日の重要ニュースをまとめ読み

ニュース一覧に戻る元記事を読む

Next.js の 2026 年 5 月セキュリティアップデート発表

キーポイント

影響分析

編集コメント

関連記事

Next.js の 2026 年 5 月セキュリティアップデート発表

キーポイント

影響分析

編集コメント

関連記事