DocsDigest
Back to listLanguage: JA
OpenAICloudflare Developer PlatformMay 7, 2026, 12:00 PM

Workers, WAF - WAF and framework adapter mitigations for React and Next.js vulnerabilities

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

WAF and framework adapter mitigations for React and Next.js vulnerabilities

reactnextjswafcloudflaresecuritydos

Key Points

  • Update React and Next.js now
  • Managed WAF already blocks RSC DoS
  • Patch adapters (Vinext, OpenNext) and test

Summary

Cloudflare responded to multiple high-severity vulnerabilities affecting React Server Components and Next.js (denial of service, middleware/proxy bypass, SSRF, XSS, cache poisoning). Existing Managed WAF rules already block the newly disclosed Server Components DoS; Cloudflare is evaluating additional managed rules. Many issues cannot be safely mitigated by a global WAF, so update dependencies and adapters immediately.

Key Points

  • Immediate action: upgrade React server packages and Next.js.
    • React server packages patched: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — versions 19.0.6, 19.1.7, or 19.2.6 as applicable.
    • Next.js patched versions: 15.5.16 and 16.2.5.
  • WAF coverage: Cloudflare Managed Rules already block related RSC DoS attacks via rule IDs 2694f1610c0b471393b21aef102ec699 and aaede80b4d414dc89c443cea61680354 (default action: Block).
  • Limitations: Cloudflare is investigating additional managed rules for several advisories, but multiple vulnerabilities cannot be safely covered by a global managed rule—do not rely solely on WAF.
  • Adapters:
    • Vinext: not vulnerable due to differing architecture; vinext init now enforces React >= 19.2.6 to avoid running vulnerable React versions.
    • OpenNext: adapter and fixtures updated; OpenNext itself isn’t directly vulnerable but you must update your app’s Next.js dependency.
  • Practical recommendations for engineers:
    • Upgrade dependencies in CI/CD and roll out patches immediately.
    • Enable Cloudflare Managed Rules (Pro/Business/Enterprise customers) and test rule impacts in staging.
    • Where indicated, create narrowly scoped custom WAF rules and validate they don’t break application behavior.
    • Audit middleware, route handling, and caching logic for SSRF, injection, and cache-poisoning risks.

Resources

  • Patched React and Next.js releases and related advisories — update as soon as possible.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

Workers、WAF — React と Next.js の脆弱性に対する WAF とフレームワークアダプタの緩和策

WAF とフレームワークアダプタによる React と Next.js の脆弱性緩和策

2026-05-07 — Workers / WAF

複数のセキュリティ脆弱性が React チームと Vercel により公開され、React Server Components と Next.js に影響を与えています。これらはサービス拒否(DoS)、ミドルウェアやプロキシのバイパス、SSRF、クロスサイトスクリプティング(XSS)、キャッシュ汚染など、様々な深刻度の問題を含みます。アプリケーションとその依存関係を直ちにアップデートすることを強く推奨します。

  • パッチ提供済みのバージョン:
    • React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 19.0.6, 19.1.7, 19.2.6
    • Next.js: 15.5.16 および 16.2.5

WAF 保護

以前の React Server Component CVE(CVE-2025-55184 ↗ および CVE-2026-23864 ↗)に対応してデプロイされた Cloudflare WAF ルールは、今回新たに開示された Server Components の DoS 脆弱性にも既にカバーを提供しています。これらのルールは、Cloudflare Managed Ruleset を使用するすべての顧客(Free Managed Ruleset を使用する Free プランの顧客を含む)でデフォルトで Block アクションが有効になっています。

Rulesetルール説明Rule IDデフォルトアクション
Cloudflare Managed RulesetReact - DoS - CVE-2025-55184 ↗2694f1610c0b471393b21aef102ec699Block
Cloudflare Managed RulesetReact - DoS - CVE-2026-23864 ↗aaede80b4d414dc89c443cea61680354Block

既存ルールは基本的な攻撃パターンを汎用的に検出するため、Server Components における新しい DoS 脆弱性 CVE-2026-23870 ↗ および対応する Next.js 警告 GHSA-8h8q-6873-q5fj ↗ にも適用されます。

Cloudflare は次の高深刻度アドバイザリについて、WAF ルールで安全かつ効果的に緩和できるかを調査しています:

  • CVE-2026-23870 ↗ / GHSA-8h8q-6873-q5fj ↗
  • GHSA-267c-6grr-h53f ↗
  • GHSA-mg66-mrh9-m8jx ↗

これらの CVE を緩和しつつアプリケーションの動作を壊さない管理対象 WAF ルールが作成可能であれば、Cloudflare は追加の managed WAF ルールを導入します。新ルールは WAF changelog で発表されます。公開は最小限の事前通知で共有されたため、現在どの WAF 緩和が可能かを引き続き調査中です。

なお、公開された脆弱性のうちいくつかは WAF ではブロック不可能です。WAF にのみ依存しないよう、アプリケーションを更新することを強く推奨します。Pro、Business、Enterprise プランの顧客は Managed Rules を有効にしていることを確認してください。

Next.js アダプタ

Vinext

  • Vinext ↗ は Next.js の API サーフェスを再実装する Vite プラグインです。
  • Vinext の最新リリースは、開示されたどの CVE にも脆弱ではありません。
  • Vinext のアーキテクチャは標準 Next.js と異なり、影響を受けるコードパスを回避します。例えば PPR resume protocol を実装しておらず、Pages Router の data-route エンドポイントを公開せず、x-nextjs-data のような内部ヘッダーをリクエスト境界で削除します。
  • 追加の防御策として、vinext init 実行時に React 19.2.6 以降を要求するようにしました(PR #1118 ↗、PR #1112 ↗)。これにより脆弱なバージョンの React を誤って Vinext と同時に動作させることを防ぎます。

OpenNext on Cloudflare

  • OpenNext は Next.js アプリを Cloudflare Workers プラットフォームにデプロイできるアダプタです。
  • OpenNext 自体は React の DoS CVE に直接脆弱ではありませんが、ユーザーはアプリケーション内の Next.js バージョンを更新する必要があります。
  • OpenNext チームはこれらのベクタに対してアダプタを更にハードニングし、Cloudflare アダプタの新バージョンをリリースしました。テストフィクスチャと例はパッチ済みバージョンを使うよう更新されています(PR #1255 ↗)。

公開された脆弱性の概要

AdvisorySeverityIssueWAF ステータス
CVE-2026-23870 ↗ / GHSA-8h8q-6873-q5fj ↗HighDenial of service in Server ComponentsWAF ルールでカバー: 2694f1610c0b471393b21aef102ec699, aaede80b4d414dc89c443cea61680354。Cloudflare は追加の managed WAF カバレッジを調査中
GHSA-267c-6grr-h53f ↗HighMiddleware bypass via segment-prefetch routes管理対象 WAF ルールで安全かつ効果的に緩和できるか調査中
GHSA-mg66-mrh9-m8jx ↗HighDenial of service via connection exhaustion in Cache Components管理対象 WAF ルールで安全かつ効果的に緩和できるか調査中
GHSA-492v-c6pp-mqqv ↗HighMiddleware bypass via dynamic route parameter injectionアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-c4j6-fc7j-m34r ↗HighSSRF via WebSocket upgradesアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-36qx-fr4f-26g5 ↗HighMiddleware bypass in Pages Router i18nカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-ffhc-5mcf-pf4q ↗ModerateXSS via CSP noncesカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-gx5p-jg67-6x7h ↗ModerateXSS in beforeInteractive scriptsアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-h64f-5h5j-jqjh ↗ModerateDenial of service in Image Optimization APIカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-wfc6-r584-vfw7 ↗ModerateCache poisoning in RSC responsesカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-vfv6-92ff-j949 ↗LowCache poisoning via RSC cache-busting collisionsアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-3g8h-86w9-wvmq ↗LowMiddleware redirect cache poisoningカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり

推奨事項

  • 影響を受けるパッケージと Next.js のバージョンを直ちにアップデートしてください(上記パッチ版を参照)。
  • WAF は有用な緩和手段ですが、すべての脆弱性をカバーできるわけではありません。WAF のみへ依存しないようにしてください。
  • Pro、Business、Enterprise プランの顧客は Managed Rules が有効であることを確認してください。

ご不明点があればお知らせください。