DocsDigest
Back to listLanguage: JA
ClaudeCloudflare Developer PlatformMay 7, 2026, 12:00 PM

Workers, WAF - WAF and framework adapter mitigations for React and Next.js vulnerabilities

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

claudeenmodel: claude-haiku-4-5

WAF and Framework Adapter Mitigations for React and Next.js Vulnerabilities

wafreactnext.jssecurityvulnerabilitydoscloudflare

Key Points

  • Existing WAF rules block React Server Component DoS attacks by default
  • Update React and Next.js to patched versions immediately
  • Framework adapters (Vinext, OpenNext) updated with additional hardening

Summary

Cloudflare has deployed WAF protections and framework adapter updates in response to multiple security vulnerabilities disclosed by the React team and Vercel affecting React Server Components and Next.js. These vulnerabilities span denial of service, middleware bypass, server-side request forgery, cross-site scripting, and cache poisoning issues.

Key Points

  • Immediate action required: Update React (19.0.6, 19.1.7, 19.2.6) and Next.js (15.5.16, 16.2.5) immediately
  • WAF coverage: Existing Cloudflare Managed Ruleset rules (CVE-2025-55184, CVE-2026-23864) already block denial-of-service attacks generically and cover the new CVE-2026-23870 vulnerability; enabled by default for all customers including Free plan
  • Investigation ongoing: Cloudflare is evaluating additional managed WAF rules for three high-severity advisories; some vulnerabilities cannot be safely mitigated at WAF layer without breaking application behavior
  • Framework adapters updated: Vinext requires React 19.2.6+ and is not vulnerable to disclosed CVEs; OpenNext on Cloudflare has been hardened with updated test fixtures using patched versions
  • Defense-in-depth recommended: Do not rely solely on WAF mitigations; application-level patching is essential as several vulnerabilities cannot be blocked at the WAF layer

Full Translation

Translations

A translation section that keeps the flow of the original article.

claudejamodel: claude-haiku-4-5

Workers、WAF - ReactおよびNext.jsの脆弱性に対するWAFおよびフレームワークアダプターの軽減策

WAFおよびフレームワークアダプターのReactおよびNext.js脆弱性軽減策

2026年5月7日

ReamチームとVercelにより、React Server ComponentsおよびNext.jsに影響する複数のセキュリティ脆弱性が開示されました。これらには、サービス拒否、ミドルウェアおよびプロキシバイパス、サーバー側リクエストフォージェリ、クロスサイトスクリプティング、およびキャッシュポイズニングの問題が含まれており、様々な重大度レベルに及びます。アプリケーションおよびその依存関係を直ちに更新することを強くお勧めします。パッチ済みバージョンはReact(react-server-dom-webpack、react-server-dom-parcel、およびreact-server-dom-turbopack 19.0.6、19.1.7、および19.2.6)およびNext.js(15.5.16および16.2.5)で利用可能です。

WAF保護

Cloudflare WAFルールは、以前のReact Server Component CVE(CVE-2025-55184およびCVE-2026-23864)に対応して展開され、新たに開示されたサービス拒否脆弱性に対するカバレッジを既に提供しています。これらのルールはCloudflare Managed Rulesetを使用しているすべてのお客様(Free planのお客様がFree Managed Rulesetを使用している場合を含む)に対して、デフォルトでBlockアクションで有効になっています。

Rulesetルール説明ルールIDデフォルトアクション
Cloudflare Managed RulesetReact - DoS - CVE-2025-551842694f1610c0b471393b21aef102ec699Block
Cloudflare Managed RulesetReact - DoS - CVE-2026-23864aaede80b4d414dc89c443cea61680354Block

既存のルールは基盤となる攻撃パターンを汎用的に検出します。その結果、Server ComponentsのCVE-2026-23870サービス拒否脆弱性および対応するNext.jsアドバイザリGHSA-8h8q-6873-q5fjに適用されます。

Cloudflareは、3つの高重大度アドバイザリに対してWAFルールを安全かつ効果的に展開できるかどうかを調査しています:CVE-2026-23870 / GHSA-8h8q-6873-q5fj、GHSA-267c-6grr-h53f、およびGHSA-mg66-mrh9-m8jx。これらのCVEを軽減し、アプリケーション動作を破壊する可能性がない管理WAFルールを作成することが可能な場合、Cloudflareは追加の管理WAFルールを追加します。これらのルールはWAF changelogを通じて発表されます。

これらの脆弱性は最小限の事前通知でCloudflareと共有されたため、どのようなWAF軽減策が可能かについて、まだ調査中です。開示された脆弱性の一部はWAFでブロックすることができません。アプリケーションがWAF軽減策のみに依存しないよう、アプリケーションを更新することを強くお勧めします。Pro、Business、またはEnterpriseプランのお客様は、Managed Rulesが有効になっていることを確認してください。

Next.jsアダプター

Vinext

VinextはNext.js APIサーフェスを再実装するViteプラグインです。Vinextの最新リリースは開示されたCVEのいずれにも脆弱ではありません。VinextのアーキテクチャはストックNext.jsと異なり、影響を受けるコードパスを回避します。例えば、PPR resumeプロトコルを実装せず、Pages Routerデータルートエンドポイントを公開せず、リクエスト境界でx-nextjs-dataなどの内部ヘッダーをストリップします。

追加の防御層として、vinext initを実行する際にReact 19.2.6以降の要件を追加しました(PR #1118、PR #1112)。これにより、VinextでReactの脆弱なバージョンを誤って実行することを防ぎます。

OpenNext on Cloudflare

OpenNextはNext.jsアプリをCloudflare Workersプラットフォームにデプロイできるアダプターです。OpenNext自体はReactサービス拒否CVEに直接脆弱ではありませんが、ユーザーはアプリケーション内のNext.jsバージョンを更新する必要があります。OpenNextチームはアダプターを更新してこれらのベクトルに対してさらに強化し、Cloudflareアダプターの新しいバージョンをリリースしました。テストフィクスチャと例はパッチ済みバージョンを使用するように更新されました(PR #1255)。

開示された脆弱性の概要

アドバイザリ重大度問題WAFステータス
CVE-2026-23870 / GHSA-8h8q-6873-q5fjHighServer Componentsでのサービス拒否WAFルール有効:2694f1610c0b471393b21aef102ec699、aaede80b4d414dc89c443cea61680354。Cloudflareは追加の管理WAFカバレッジを調査中
GHSA-267c-6grr-h53fHighsegment-prefetchルート経由のミドルウェアバイパスCloudflareは管理WAFルールで安全かつ効果的に軽減できるかどうかを調査中
GHSA-mg66-mrh9-m8jxHighCache Componentsでの接続枯渇によるサービス拒否Cloudflareは管理WAFルールで安全かつ効果的に軽減できるかどうかを調査中
GHSA-492v-c6pp-mqqvHigh動的ルートパラメータインジェクション経由のミドルウェアバイパスアプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能
GHSA-c4j6-fc7j-m34rHighWebSocketアップグレード経由のSSRFアプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能
GHSA-36qx-fr4f-26g5HighPages Router i18nでのミドルウェアバイパスカスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり
GHSA-ffhc-5mcf-pf4qModerateCSP nonceを経由したXSSカスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり
GHSA-gx5p-jg67-6x7hModeratebeforeInteractiveスクリプトでのXSSアプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能
GHSA-h64f-5h5j-jqjhModerateImage Optimization APIでのサービス拒否カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり
GHSA-wfc6-r584-vfw7ModerateRSC応答でのキャッシュポイズニングカスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり
GHSA-vfv6-92ff-j949LowRSCキャッシュバスティング衝突経由のキャッシュポイズニングアプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能
GHSA-3g8h-86w9-wvmqLowミドルウェアリダイレクトキャッシュポイズニングカスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり