openaijamodel: gpt-5-mini-2025-08-07
Next.js セキュリティ更新:2025年12月11日
Key Points
- DoS(高)影響あり
- サーバ関数のソース露出
- 再アップグレード必須
Summary
React Server Components(RSC)プロトコルに由来する2件の脆弱性が上流のReact実装で報告され、Next.jsのApp Routerを利用するアプリケーションに影響します。いずれもリモートコード実行は発生しませんが、サービス停止(DoS)とサーバ関数のコンパイル済みソース露出を引き起こす可能性があります。初期対策は不完全だったため、CVE-2025-67779による完全な修正が公開されており、以前にアップグレードした場合でも再度最新版へ更新が必要です。Pages Routerは影響を受けませんが、アップグレードを推奨します。
Key Points
- 影響と深刻度
- DoS: CVE-2025-55184(高)。不正なリクエストのデシリアライズで無限ループを引き起こしサーバをハングさせる。初期修正は不完全で、完全修正はCVE-2025-67779。
- ソースコード露出: CVE-2025-55183(中)。不正なリクエストにより他のサーバ関数のコンパイル済みソースが返る可能性がある。コード内に直接埋めたシークレットは露出する可能性あり。
- 影響範囲
- App Router + React Server Componentsを使用するNext.jsアプリが対象。Pages Routerは対象外。
- 必要な対応(短く実務向け)
- 各リリースラインの最新パッチ済みバージョンに必ずアップグレードしてください。
- 代表的なアップグレード例:
npm install next@14.2.35(14.x → 14.2.35)npm install next@15.0.7(15.0.x → 15.0.7)npm install next@15.1.11(15.1.x → 15.1.11)npm install next@15.2.8(15.2.x → 15.2.8)npm install next@15.3.8(15.3.x → 15.3.8)npm install next@15.4.10(15.4.x → 15.4.10)npm install next@15.5.9(15.5.x → 15.5.9)npm install next@16.0.10(16.0.x → 16.0.10)
- Canaryラインの例:
npm install next@15.6.0-canary.60/npm install next@16.1.0-canary.19 - 依存関係とバージョン確認・自動更新には
npx fix-react2shell-nextを利用して検査と決定論的なバージョン更新を行ってください。
- ワークアラウンド
- ありません。パッチ済みバージョンへのアップグレードが必須です。
- 参考
- Reactの公式ブログと各CVE(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)、およびNext.jsのアドバイザリを参照してください。
Action checklist(エンジニア向け短縮版)
- App Routerを使っているか確認
- 使用中のNext.jsバージョンを確認 (
node -e "console.log(require('./package.json').dependencies.next)"など) - 対応するパッチ版へアップグレード
- CIでテストを回し、本番へロールアウト
npx fix-react2shell-nextの実行で追加確認