TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > フレームワーク: Next.js > 「Next.js」にセキュリティアップデート - 「React」脆弱性が影響

「Next.js」にセキュリティアップデート - 「React」脆弱性が影響

フレームワーク: Next.js CVE-2025-66478 CVE-2025-55182 / React2Shell

【要点】

◎Next.jsに、Reactの脆弱性を起因とする致命的なRCE問題が判明し、App Router利用環境では修正版への即時更新が必要とされた。 (Security NEXT)


【要約】

Next.jsに、オブジェクトのデシリアライズ処理に起因する深刻な脆弱性CVE-2025-66478が確認された。本脆弱性はApp Router構成に影響し、細工されたデータを受信すると認証不要でリモートコード実行が可能となる。原因はReact Server Componentsの脆弱性CVE-2025-55182の影響で、CVSSv3.1は最高値の10.0と評価されている。VercelはNext.js 16.0.7や15系各修正版で対応しており、併せてReactの修正版(19.2.1など)への更新も強く推奨されている。


【ニュース】

◆「Next.js」にセキュリティアップデート - 「React」脆弱性が影響 (Security NEXT, 2025/12/04)
https://www.security-next.com/177966

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022