DocsDigest
一覧へLanguage: EN
OpenAICloudflare Developer Platform2026/05/07 12:00

Workers, WAF - WAF and framework adapter mitigations for React and Next.js vulnerabilities

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

WAFとフレームワークアダプタによるReact/Next.js脆弱性の緩和(要対応)

reactnextjswafcloudflaresecurityrsc

Key Points

  • 緊急にReact/Next.jsを更新
  • 既存WAFルールが一部DoSを防御
  • vinextは影響なし/OpenNextはNext.js更新必須

Summary

React Server Components と Next.js に複数の脆弱性(DoS、ミドルウェア/プロキシバイパス、SSRF、XSS、キャッシュ汚染など)が公開されました。Cloudflareは既存の管理対象WAFルールで一部のDoSを保護しており、追加の管理ルールの適用可否を調査中です。エンジニアはアプリケーションと依存関係を直ちにアップデートし、WAFにのみ依存しない対策を取ってください。

Key Points

  • 直ちに依存関係を更新:Reactのパッチ版 react-server-dom-webpack/parcel/turbopack19.0.6, 19.1.7, 19.2.6、Next.js は 15.5.1616.2.5 を使用すること。
  • 既存のCloudflare Managed Rules(Rule IDs: 2694f1610c0b471393b21aef102ec699, aaede80b4d414dc89c443cea61680354)は一部のServer Components DoS(CVE-2026-23870 等)をカバー。
  • CloudflareはGHSA-... 系の高重大度案件のうち複数に対して、追加の管理ルールでの緩和が安全か検討中。いくつかの脆弱性はWAFで安全に遮断できない可能性がある。
  • アダプタの状況:Vinextはアーキテクチャ上影響を受けず、vinext init では React >= 19.2.6 を要求。OpenNext(Cloudflare Workers向け)はアダプタを更新済みだが、アプリ側でNext.jsをパッチ版に更新する必要あり。
  • 推奨設定:Pro/Business/EnterpriseはManaged Rulesを有効化し、全プランはFree Managed Rulesetの適用状況を確認すること。
  • 運用上の注意:グローバルな管理ルールがアプリ挙動を壊す恐れがあるため、カスタムWAFルールは事前テストを実施し、WAFのみでの防御に依存しないこと。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

Workers、WAF — React と Next.js の脆弱性に対する WAF とフレームワークアダプタの緩和策

WAF とフレームワークアダプタによる React と Next.js の脆弱性緩和策

2026-05-07 — Workers / WAF

複数のセキュリティ脆弱性が React チームと Vercel により公開され、React Server Components と Next.js に影響を与えています。これらはサービス拒否(DoS)、ミドルウェアやプロキシのバイパス、SSRF、クロスサイトスクリプティング(XSS)、キャッシュ汚染など、様々な深刻度の問題を含みます。アプリケーションとその依存関係を直ちにアップデートすることを強く推奨します。

  • パッチ提供済みのバージョン:
    • React: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack 19.0.6, 19.1.7, 19.2.6
    • Next.js: 15.5.16 および 16.2.5

WAF 保護

以前の React Server Component CVE(CVE-2025-55184 ↗ および CVE-2026-23864 ↗)に対応してデプロイされた Cloudflare WAF ルールは、今回新たに開示された Server Components の DoS 脆弱性にも既にカバーを提供しています。これらのルールは、Cloudflare Managed Ruleset を使用するすべての顧客(Free Managed Ruleset を使用する Free プランの顧客を含む)でデフォルトで Block アクションが有効になっています。

Rulesetルール説明Rule IDデフォルトアクション
Cloudflare Managed RulesetReact - DoS - CVE-2025-55184 ↗2694f1610c0b471393b21aef102ec699Block
Cloudflare Managed RulesetReact - DoS - CVE-2026-23864 ↗aaede80b4d414dc89c443cea61680354Block

既存ルールは基本的な攻撃パターンを汎用的に検出するため、Server Components における新しい DoS 脆弱性 CVE-2026-23870 ↗ および対応する Next.js 警告 GHSA-8h8q-6873-q5fj ↗ にも適用されます。

Cloudflare は次の高深刻度アドバイザリについて、WAF ルールで安全かつ効果的に緩和できるかを調査しています:

  • CVE-2026-23870 ↗ / GHSA-8h8q-6873-q5fj ↗
  • GHSA-267c-6grr-h53f ↗
  • GHSA-mg66-mrh9-m8jx ↗

これらの CVE を緩和しつつアプリケーションの動作を壊さない管理対象 WAF ルールが作成可能であれば、Cloudflare は追加の managed WAF ルールを導入します。新ルールは WAF changelog で発表されます。公開は最小限の事前通知で共有されたため、現在どの WAF 緩和が可能かを引き続き調査中です。

なお、公開された脆弱性のうちいくつかは WAF ではブロック不可能です。WAF にのみ依存しないよう、アプリケーションを更新することを強く推奨します。Pro、Business、Enterprise プランの顧客は Managed Rules を有効にしていることを確認してください。

Next.js アダプタ

Vinext

  • Vinext ↗ は Next.js の API サーフェスを再実装する Vite プラグインです。
  • Vinext の最新リリースは、開示されたどの CVE にも脆弱ではありません。
  • Vinext のアーキテクチャは標準 Next.js と異なり、影響を受けるコードパスを回避します。例えば PPR resume protocol を実装しておらず、Pages Router の data-route エンドポイントを公開せず、x-nextjs-data のような内部ヘッダーをリクエスト境界で削除します。
  • 追加の防御策として、vinext init 実行時に React 19.2.6 以降を要求するようにしました(PR #1118 ↗、PR #1112 ↗)。これにより脆弱なバージョンの React を誤って Vinext と同時に動作させることを防ぎます。

OpenNext on Cloudflare

  • OpenNext は Next.js アプリを Cloudflare Workers プラットフォームにデプロイできるアダプタです。
  • OpenNext 自体は React の DoS CVE に直接脆弱ではありませんが、ユーザーはアプリケーション内の Next.js バージョンを更新する必要があります。
  • OpenNext チームはこれらのベクタに対してアダプタを更にハードニングし、Cloudflare アダプタの新バージョンをリリースしました。テストフィクスチャと例はパッチ済みバージョンを使うよう更新されています(PR #1255 ↗)。

公開された脆弱性の概要

AdvisorySeverityIssueWAF ステータス
CVE-2026-23870 ↗ / GHSA-8h8q-6873-q5fj ↗HighDenial of service in Server ComponentsWAF ルールでカバー: 2694f1610c0b471393b21aef102ec699, aaede80b4d414dc89c443cea61680354。Cloudflare は追加の managed WAF カバレッジを調査中
GHSA-267c-6grr-h53f ↗HighMiddleware bypass via segment-prefetch routes管理対象 WAF ルールで安全かつ効果的に緩和できるか調査中
GHSA-mg66-mrh9-m8jx ↗HighDenial of service via connection exhaustion in Cache Components管理対象 WAF ルールで安全かつ効果的に緩和できるか調査中
GHSA-492v-c6pp-mqqv ↗HighMiddleware bypass via dynamic route parameter injectionアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-c4j6-fc7j-m34r ↗HighSSRF via WebSocket upgradesアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-36qx-fr4f-26g5 ↗HighMiddleware bypass in Pages Router i18nカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-ffhc-5mcf-pf4q ↗ModerateXSS via CSP noncesカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-gx5p-jg67-6x7h ↗ModerateXSS in beforeInteractive scriptsアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-h64f-5h5j-jqjh ↗ModerateDenial of service in Image Optimization APIカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-wfc6-r584-vfw7 ↗ModerateCache poisoning in RSC responsesカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり
GHSA-vfv6-92ff-j949 ↗LowCache poisoning via RSC cache-busting collisionsアプリケーション動作を壊す可能性があり、管理対象 WAF ルールの安全な有効化は不可
GHSA-3g8h-86w9-wvmq ↗LowMiddleware redirect cache poisoningカスタム WAF ルールは可能;グローバルな管理対象ルールはアプリ破壊の恐れあり

推奨事項

  • 影響を受けるパッケージと Next.js のバージョンを直ちにアップデートしてください(上記パッチ版を参照)。
  • WAF は有用な緩和手段ですが、すべての脆弱性をカバーできるわけではありません。WAF のみへ依存しないようにしてください。
  • Pro、Business、Enterprise プランの顧客は Managed Rules が有効であることを確認してください。

ご不明点があればお知らせください。