【Next.js】2025/12/4 重要なセキュリティ警告

Next.js

CVSS 10.0のセキュリティ問題

以下のメールがVercelから届きました。

A critical vulnerability in React Server Components (CVE-2025-55182) has been responsibly disclosed. It affects React 19 and frameworks that use it, including Next.js (CVE-2025-66478).

If you are using Next.js, every version between Next.js 15 and 16 is affected, and we recommend immediately updating to the latest Next.js versions containing the appropriate fixes (15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7).

If you are using another framework using Server Components, we also recommend immediately updating to the latest React versions containing the appropriate fixes (19.0.1, 19.1.2, and 19.2.1).

詳細は以下に書かれています。

https://nextjs.org/blog/CVE-2025-66478

React Server Components (RSC) プロトコルに重大な脆弱性が見つかりました。これを悪用されると、攻撃者が細工したリクエストによって、サーバー上で任意のコードが実行されるリスクがあります。

影響を受けるバージョン

App Routerを使用しているNext.jsアプリケーションで、以下のバージョンが影響を受けます:

  • Next.js 15.x
  • Next.js 16.x
  • Next.js 14.3.0-canary.77 以降のcanaryリリース

影響を受けないバージョン:

  • Next.js 13.x
  • Next.js 14.x stable
  • Pages Routerを使用しているアプリケーション
  • Edge Runtimeを使用しているアプリケーション

対応方法

すぐに以下の修正済みバージョンにアップデートしてください:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7

使用しているバージョンに応じて、以下のコマンドを実行します:

npm install next@15.0.5   # 15.0.xを使用している場合
npm install next@15.1.9   # 15.1.xを使用している場合
npm install next@15.2.6   # 15.2.xを使用している場合
npm install next@15.3.6   # 15.3.xを使用している場合
npm install next@15.4.8   # 15.4.xを使用している場合
npm install next@15.5.7   # 15.5.xを使用している場合
npm install next@16.0.7   # 16.0.xを使用している場合