| タイトル | Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける信頼できるデータ受け入れ時の信頼できない無関係なデータの受け入れに関する脆弱性 |
|---|---|
| 概要 | Next.jsは、フルスタックのウェブアプリケーションを構築するためのReactフレームワークです。バージョン12.2.0から15.5.16未満および16.2.5までの間、外部クライアントが通常のリクエストでmiddlewareによって処理されリダイレクトを返すパスに対してx-nextjs-dataヘッダーを送信することが可能でした。その場合、middlewareやプロキシはリクエストをデータリクエストとして扱い、標準のLocationリダイレクトヘッダーを内部のx-nextjs-redirectヘッダーに置き換えることがありました。ブラウザはx-nextjs-redirectを追跡しないため、このレスポンスは通常のクライアントにとって使用できないリダイレクトとなりました。もしアプリケーションがCDNやリバースプロキシの背後に展開され、3xxレスポンスをこのヘッダーでバリエーションを付けずにキャッシュしている場合、単一の攻撃者のリクエストによって影響を受けるパスのキャッシュされたリダイレクトレスポンスが汚染される可能性がありました。これにより後続の訪問者はLocationヘッダー無しのキャッシュされたリダイレクトレスポンスを受け取り、そのリダイレクトパスに対してサービス拒否が発生し、キャッシュエントリが期限切れになるか削除されるまでこの状態が続きました。この脆弱性は15.5.16および16.2.5で修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月13日0:00 |
| 登録日 | 2026年5月18日11:25 |
| 最終更新日 | 2026年5月18日11:25 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Vercel, Inc. (旧 Zeit, Inc.) |
| Next.js 12.2.0 以上 15.5.16 未満 |
| Next.js 16.0.0 以上 16.2.5 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
2026年5月18日11:25 |
| 概要 | Next.js is a React framework for building full-stack web applications. From 12.2.0 to before 15.5.16 and 16.2.5, an external client could send a x-nextjs-data header on a normal request to a path handled by middleware that returns a redirect. When that happened, the middleware/proxy could treat the request as a data request and replace the standard Location redirect header with the internal x-nextjs-redirect header. Browsers do not follow x-nextjs-redirect, so the response became an unusable redirect for normal clients. If the application was deployed behind a CDN or reverse proxy that caches 3xx responses without varying on this header, a single attacker request could poison the cached redirect response for the affected path. Subsequent visitors could then receive a cached redirect response without a Location header, causing a denial of service for that redirect path until the cache entry expired or was purged. This vulnerability is fixed in 15.5.16 and 16.2.5. |
|---|---|
| 公表日 | 2026年5月14日1:16 |
| 登録日 | 2026年5月15日4:21 |
| 最終更新日 | 2026年5月16日0:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:* | 12.2.0 | 15.5.16 | |||
| cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:* | 16.0.0 | 16.2.5 | |||