製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性

Title	Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性
Summary	Next.jsはフルスタックのウェブアプリケーションを構築するためのReactフレームワークです。バージョン15.2.0から15.5.16未満および16.2.5までの間において、ミドルウェアやプロキシベースの認可チェックに依存するApp Routerアプリケーションでは、セグメントプリフェッチに使用されるトランスポート固有のルートバリアントを介して不正アクセスが可能になる場合があります。影響を受ける構成では、特別に細工された.rscおよびセグメントプリフェッチのURLが、本来のミドルウェアルールにマッチせずに同じページに解決されるため、期待される認可チェックを経ずに保護されたコンテンツに到達できる可能性があります。この脆弱性はバージョン15.5.16および16.2.5で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	May 15, 2026, 10:57 a.m.
Last Update	May 15, 2026, 10:57 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

Vercel, Inc. (旧 Zeit, Inc.)

Next.js 15.2.0 以上 15.5.16 未満

Next.js 16.0.0 以上 16.2.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44575	https://www.cve.org/CVERecord?id=CVE-2026-44575
National Vulnerability Database (NVD)
2	CVE-2026-44575	https://nvd.nist.gov/vuln/detail/CVE-2026-44575

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-288	https://cwe.mitre.org/data/definitions/288.html

ベンダー情報

No	Name	URL
GitHub
1	Middleware / Proxy bypass in App Router applications via segment-prefetch routes Advisory vercel/next.js GitHub	https://github.com/vercel/next.js/security/advisories/GHSA-267c-6grr-h53f

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 10:57 a.m.

NVD Vulnerability Information

CVE-2026-44575

Summary	Next.js is a React framework for building full-stack web applications. From 15.2.0 to before 15.5.16 and 16.2.5, App Router applications that rely on middleware or proxy-based checks for authorization can allow unauthorized access through transport-specific route variants used for segment prefetching. In affected configurations, specially crafted .rsc and segment-prefetch URLs can resolve to the same page without being matched by the intended middleware rule, which can allow protected content to be reached without the expected authorization check. This vulnerability is fixed in 15.5.16 and 16.2.5.
Publication Date	May 14, 2026, 2:16 a.m.
Registration Date	May 15, 2026, 4:21 a.m.
Last Update	May 14, 2026, 9:38 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vercel:next.js::::::node.js::*	15.2.0			15.5.16
cpe:2.3:a:vercel:next.js::::::node.js::*	16.0.0			16.2.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/vercel/next.js/security/advisories/GHSA-267c-6grr-h53f	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-288	代替パスまたはチャネルを使用した認証回避	https://cwe.mitre.org/data/definitions/288.html