製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおけるサーバサイドのリクエストフォージェリの脆弱性

Title	Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおけるサーバサイドのリクエストフォージェリの脆弱性
Summary	Next.jsは、フルスタックのウェブアプリケーションを構築するためのReactフレームワークです。バージョン13.4.13から15.5.16未満および16.2.5未満の組み込みNode.jsサーバーを使用するセルフホステッドアプリケーションは、細工されたWebSocketアップグレードリクエストを通じてサーバーサイドリクエストフォージェリの脆弱性を持つ可能性があります。攻撃者はサーバーに任意の内部または外部の宛先へのプロキシリクエストを発生させることができ、その結果として内部サービスやクラウドのメタデータエンドポイントが露出するおそれがあります。Vercelでホストされているデプロイメントには影響はありません。この脆弱性はバージョン15.5.16および16.2.5で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	May 18, 2026, 12:11 p.m.
Last Update	May 18, 2026, 12:11 p.m.

CVSS3.0 : 重要
Score	8.6
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Affected System

Vercel, Inc. (旧 Zeit, Inc.)

Next.js 13.4.13 以上 15.5.16 未満

Next.js 16.0.0 以上 16.2.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44578	https://www.cve.org/CVERecord?id=CVE-2026-44578
National Vulnerability Database (NVD)
2	CVE-2026-44578	https://nvd.nist.gov/vuln/detail/CVE-2026-44578

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	Name	URL
GitHub
1	Server-side request forgery in applications using WebSocket upgrades Advisory vercel/next.js GitHub	https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r

Change Log

No	Changed Details	Date of change
1	[2026年05月18日] 掲載	May 18, 2026, 12:11 p.m.

NVD Vulnerability Information

CVE-2026-44578

Summary	Next.js is a React framework for building full-stack web applications. From 13.4.13 to before 15.5.16 and 16.2.5, self-hosted applications using the built-in Node.js server can be vulnerable to server-side request forgery through crafted WebSocket upgrade requests. An attacker can cause the server to proxy requests to arbitrary internal or external destinations, which may expose internal services or cloud metadata endpoints. Vercel-hosted deployments are not affected. This vulnerability is fixed in 15.5.16 and 16.2.5.
Publication Date	May 14, 2026, 3:16 a.m.
Registration Date	May 15, 2026, 4:22 a.m.
Last Update	May 15, 2026, 3:34 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vercel:next.js::::::node.js::*	13.4.13			15.5.16
cpe:2.3:a:vercel:next.js::::::node.js::*	16.0.0			16.2.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/vercel/next.js/security/advisories/GHSA-c4j6-fc7j-m34r	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-918	サーバサイドリクエストフォージェリ	https://cwe.mitre.org/data/definitions/918.html