WAFおよびフレームワークアダプターのReactおよびNext.js脆弱性軽減策
2026年5月7日
ReamチームとVercelにより、React Server ComponentsおよびNext.jsに影響する複数のセキュリティ脆弱性が開示されました。これらには、サービス拒否、ミドルウェアおよびプロキシバイパス、サーバー側リクエストフォージェリ、クロスサイトスクリプティング、およびキャッシュポイズニングの問題が含まれており、様々な重大度レベルに及びます。アプリケーションおよびその依存関係を直ちに更新することを強くお勧めします。パッチ済みバージョンはReact(react-server-dom-webpack、react-server-dom-parcel、およびreact-server-dom-turbopack 19.0.6、19.1.7、および19.2.6)およびNext.js(15.5.16および16.2.5)で利用可能です。
WAF保護
Cloudflare WAFルールは、以前のReact Server Component CVE(CVE-2025-55184およびCVE-2026-23864)に対応して展開され、新たに開示されたサービス拒否脆弱性に対するカバレッジを既に提供しています。これらのルールはCloudflare Managed Rulesetを使用しているすべてのお客様(Free planのお客様がFree Managed Rulesetを使用している場合を含む)に対して、デフォルトでBlockアクションで有効になっています。
| Ruleset | ルール説明 | ルールID | デフォルトアクション |
|---|
| Cloudflare Managed Ruleset | React - DoS - CVE-2025-55184 | 2694f1610c0b471393b21aef102ec699 | Block |
| Cloudflare Managed Ruleset | React - DoS - CVE-2026-23864 | aaede80b4d414dc89c443cea61680354 | Block |
既存のルールは基盤となる攻撃パターンを汎用的に検出します。その結果、Server ComponentsのCVE-2026-23870サービス拒否脆弱性および対応するNext.jsアドバイザリGHSA-8h8q-6873-q5fjに適用されます。
Cloudflareは、3つの高重大度アドバイザリに対してWAFルールを安全かつ効果的に展開できるかどうかを調査しています:CVE-2026-23870 / GHSA-8h8q-6873-q5fj、GHSA-267c-6grr-h53f、およびGHSA-mg66-mrh9-m8jx。これらのCVEを軽減し、アプリケーション動作を破壊する可能性がない管理WAFルールを作成することが可能な場合、Cloudflareは追加の管理WAFルールを追加します。これらのルールはWAF changelogを通じて発表されます。
これらの脆弱性は最小限の事前通知でCloudflareと共有されたため、どのようなWAF軽減策が可能かについて、まだ調査中です。開示された脆弱性の一部はWAFでブロックすることができません。アプリケーションがWAF軽減策のみに依存しないよう、アプリケーションを更新することを強くお勧めします。Pro、Business、またはEnterpriseプランのお客様は、Managed Rulesが有効になっていることを確認してください。
Next.jsアダプター
Vinext
VinextはNext.js APIサーフェスを再実装するViteプラグインです。Vinextの最新リリースは開示されたCVEのいずれにも脆弱ではありません。VinextのアーキテクチャはストックNext.jsと異なり、影響を受けるコードパスを回避します。例えば、PPR resumeプロトコルを実装せず、Pages Routerデータルートエンドポイントを公開せず、リクエスト境界でx-nextjs-dataなどの内部ヘッダーをストリップします。
追加の防御層として、vinext initを実行する際にReact 19.2.6以降の要件を追加しました(PR #1118、PR #1112)。これにより、VinextでReactの脆弱なバージョンを誤って実行することを防ぎます。
OpenNext on Cloudflare
OpenNextはNext.jsアプリをCloudflare Workersプラットフォームにデプロイできるアダプターです。OpenNext自体はReactサービス拒否CVEに直接脆弱ではありませんが、ユーザーはアプリケーション内のNext.jsバージョンを更新する必要があります。OpenNextチームはアダプターを更新してこれらのベクトルに対してさらに強化し、Cloudflareアダプターの新しいバージョンをリリースしました。テストフィクスチャと例はパッチ済みバージョンを使用するように更新されました(PR #1255)。
開示された脆弱性の概要
| アドバイザリ | 重大度 | 問題 | WAFステータス |
|---|
| CVE-2026-23870 / GHSA-8h8q-6873-q5fj | High | Server Componentsでのサービス拒否 | WAFルール有効:2694f1610c0b471393b21aef102ec699、aaede80b4d414dc89c443cea61680354。Cloudflareは追加の管理WAFカバレッジを調査中 |
| GHSA-267c-6grr-h53f | High | segment-prefetchルート経由のミドルウェアバイパス | Cloudflareは管理WAFルールで安全かつ効果的に軽減できるかどうかを調査中 |
| GHSA-mg66-mrh9-m8jx | High | Cache Componentsでの接続枯渇によるサービス拒否 | Cloudflareは管理WAFルールで安全かつ効果的に軽減できるかどうかを調査中 |
| GHSA-492v-c6pp-mqqv | High | 動的ルートパラメータインジェクション経由のミドルウェアバイパス | アプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能 |
| GHSA-c4j6-fc7j-m34r | High | WebSocketアップグレード経由のSSRF | アプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能 |
| GHSA-36qx-fr4f-26g5 | High | Pages Router i18nでのミドルウェアバイパス | カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり |
| GHSA-ffhc-5mcf-pf4q | Moderate | CSP nonceを経由したXSS | カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり |
| GHSA-gx5p-jg67-6x7h | Moderate | beforeInteractiveスクリプトでのXSS | アプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能 |
| GHSA-h64f-5h5j-jqjh | Moderate | Image Optimization APIでのサービス拒否 | カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり |
| GHSA-wfc6-r584-vfw7 | Moderate | RSC応答でのキャッシュポイズニング | カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり |
| GHSA-vfv6-92ff-j949 | Low | RSCキャッシュバスティング衝突経由のキャッシュポイズニング | アプリケーション動作を破壊する可能性なく管理WAFルールを安全に有効にすることは不可能 |
| GHSA-3g8h-86w9-wvmq | Low | ミドルウェアリダイレクトキャッシュポイズニング | カスタムWAFルール可能。グローバル管理ルールはアプリケーション動作を破壊する可能性あり |