CVE-2026-23869の概要
React Server Componentsの高深刻度脆弱性(CVE-2026-23869)により、悪意あるHTTPリクエストでサービス拒否攻撃が可能となり、Next.js 13.x-16.xなどApp Routerを使用するパッケージに影響が及ぶため、即時パッチ適用が推奨されている。
キーポイント
脆弱性の概要
React Server Componentsの高深刻度脆弱性(CVSS 7.5)により、悪意あるHTTPリクエストでサービス拒否攻撃が可能。
影響範囲
Next.js 13.x、14.x、15.x、16.xおよびApp Routerを使用するパッケージに影響。CVE-2026-23869として追跡。
攻撃手法
App Router Server Functionエンドポイントに送信された特別に細工されたHTTPリクエストが、デシリアライズ時に過剰なCPU使用を引き起こす。
対策と推奨事項
Vercel WAFに緩和策を展開したが、完全な保護ではないため、パッチ適用バージョンへの即時アップグレードが必須。
修正バージョン
React 15.0.0は15.5.15で、16.0.0は16.2.3で修正。影響を受ける下流フレームワークも更新済み。
影響分析・編集コメントを表示
影響分析
この脆弱性はReact Server Componentsという現代的なWeb開発の基盤技術に影響するため、多数のNext.jsプロジェクトに直接的なセキュリティリスクをもたらす。CVSS 7.5という高深刻度評価と、サービス拒否攻撃が可能な点から、実運用環境では即時対応が求められる重大なセキュリティ問題である。
編集コメント
React/Next.jsエコシステムの広範な影響を考慮すると、開発者は即座にバージョン確認とアップグレードを実施すべき。WAF依存ではなく根本的なパッチ適用が重要。
タイトル: CVE-2026-23869の概要
概要
React Server Components に深刻度の高い脆弱性(CVSS 7.5)が存在し、サービス拒否(Denial of Service)を引き起こす可能性があります。
当社はこれらの脆弱性に対処する新たなルールを作成し、Vercel WAF に導入しました。これにより、Vercel でホストされているすべてのプロジェクトが自動的かつ無償で保護されます。ただし、完全な保護を WAF のみに依存することは避けてください。修正済みバージョンへの即時アップグレードが必要です。
影響
細工された HTTP リクエストを App Router Server Function エンドポイントに送信すると、デシリアライズ時に過剰な CPU 使用率を引き起こす可能性があります。その結果、パッチ未適用の環境ではサービス拒否が発生するおそれがあります。
この脆弱性は Next.js 13.x、14.x、15.x、16.x および App Router を使用する影響を受けるパッケージに存在します。この問題は上流で CVE-2026-23869 として追跡されています。
解決策
この脆弱性を緩和する対策を講じた後、当社は顧客を保護するため、グローバル分散プラットフォーム全体に展開しました。それでもなお、最新の修正済みバージョンへのアップグレードを推奨します。
React および影響を受ける下流フレームワークの更新リリースには、この問題を防止する修正が含まれています。すべてのユーザーは、可能な限り早期に修正済みバージョンへアップグレードする必要があります。
修正済みバージョン
= 15.0.0 は 15.5.15 で修正予定
= 16.0.0 は 16.2.3 で修正予定
詳細を読む
原文を表示
Summary
A high-severity vulnerability (CVSS 7.5) in React Server Components can lead to Denial of Service.
We created new rules to address these vulnerabilities and deployed them to the Vercel WAF to automatically protect all projects hosted on Vercel at no cost. However, do not rely on the WAF for full protection. Immediate upgrades to a patched version are required.
Impact
A specially crafted HTTP request can be sent to any App Router Server Function endpoint that, when deserialized, may trigger excessive CPU usage. This can result in denial of service in unpatched environments.
These vulnerabilities are present in Next.js 13.x, 14.x, 15.x, 16.x and affected packages using the App Router. The issue is tracked upstream as CVE-2026-23869
Resolution
After creating mitigations to address this vulnerability, we deployed them across our globally-distributed platform to protect our customers. We still recommend upgrading to the latest patched version.
Updated releases of React and affected downstream frameworks include fixes to prevent this issue. All users should upgrade to a patched version as soon as possible.
Fixed In
= 15.0.0 to be fixed in 15.5.15
= 16.0.0 to be fixed in 16.2.3
Read more
関連記事
VercelがAIエージェント向けに40以上のパフォーマンスルールを含むReactベストプラクティスを公開
Vercelは、ReactとNext.jsアプリ向けの40以上のパフォーマンス最適化ルールを含むオープンソースリポジトリ「react-best-practices」を公開した。AIコーディングエージェント向けに設計されており、パフォーマンス、バンドルサイズ、アーキテクチャの意思決定を支援する。
.NET 11 Preview 1のASP.NET Coreが新Blazorコンポーネント、ナビゲーション改善、WebAssemblyを導入
Microsoftが.NET 11 Preview 1でASP.NET Coreをリリース。新Blazorコンポーネントや相対URIナビゲーション、WebAssembly対応など開発機能を強化。
Vercel上でNext.jsを活用したリアルタイム停電マップの構築
オーストラリアのエンデバー・エネルギーが、Vercelプラットフォーム上でNext.jsを用いてリアルタイム停電マップを構築し、ピーク時の負荷下でも1秒未満でのページ読み込みを実現しました。