製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける解釈の競合に関する脆弱性

Title	Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける解釈の競合に関する脆弱性
Summary	Next.jsはフルスタックのウェブアプリケーションを構築するためのReactフレームワークです。バージョン14.2.0から15.5.16未満および16.2.5までの間で、React Server Componentsを使用しているアプリケーションには、共有キャッシュがレスポンスのバリアントを正しく分割しない場合にキャッシュポイズニングの脆弱性があります。影響を受ける条件下では、攻撃者が元のURLからRSCレスポンスを配信させて共有キャッシュエントリを汚染し、後の訪問者が期待されるHTMLの代わりにコンポーネントのペイロードを受け取る可能性があります。この脆弱性は15.5.16および16.2.5で修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	May 18, 2026, 12:11 p.m.
Last Update	May 18, 2026, 12:11 p.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:L

Affected System

Vercel, Inc. (旧 Zeit, Inc.)

Next.js 14.2.0 以上 15.5.16 未満

Next.js 16.0.0 以上 16.2.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44576	https://www.cve.org/CVERecord?id=CVE-2026-44576
National Vulnerability Database (NVD)
2	CVE-2026-44576	https://nvd.nist.gov/vuln/detail/CVE-2026-44576

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-436	https://cwe.mitre.org/data/definitions/436.html

ベンダー情報

No	Name	URL
GitHub
1	Cache poisoning in React Server Component responses Advisory vercel/next.js GitHub	https://github.com/vercel/next.js/security/advisories/GHSA-wfc6-r584-vfw7

Change Log

No	Changed Details	Date of change
1	[2026年05月18日] 掲載	May 18, 2026, 12:11 p.m.

NVD Vulnerability Information

CVE-2026-44576

Summary	Next.js is a React framework for building full-stack web applications. From 14.2.0 to before 15.5.16 and 16.2.5, applications using React Server Components can be vulnerable to cache poisoning when shared caches do not correctly partition response variants. Under affected conditions, an attacker can cause an RSC response to be served from the original URL and poison shared cache entries so later visitors receive component payloads instead of the expected HTML. This vulnerability is fixed in 15.5.16 and 16.2.5.
Publication Date	May 14, 2026, 2:16 a.m.
Registration Date	May 15, 2026, 4:21 a.m.
Last Update	May 14, 2026, 10:44 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vercel:next.js::::::node.js::*	14.2.0			15.5.16
cpe:2.3:a:vercel:next.js::::::node.js::*	16.0.0			16.2.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/vercel/next.js/security/advisories/GHSA-wfc6-r584-vfw7	security-advisories@github.com

Common Vulnerabilities List