製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性

Title	Vercel, Inc. (旧 Zeit, Inc.)のNext.jsにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性
Summary	Next.jsはフルスタックのウェブアプリケーションを構築するためのReactフレームワークです。バージョン15.4.0から15.5.16未満および16.2.5に至るまで、ミドルウェアに依存して動的ルートを保護するアプリケーションに認可バイパスの脆弱性が存在していました。影響を受ける環境では、特別に細工されたクエリパラメータがページで認識される動的ルートの値を変更する一方で、表示されるパスは変更しません。そのため、期待されるミドルウェアのチェックを通過せずに保護されたコンテンツがレンダリングされる可能性があります。この脆弱性はバージョン15.5.16および16.2.5で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	May 15, 2026, 10:57 a.m.
Last Update	May 15, 2026, 10:57 a.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Affected System

Vercel, Inc. (旧 Zeit, Inc.)

Next.js 15.4.0 以上 15.5.16 未満

Next.js 16.0.0 以上 16.2.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44574	https://www.cve.org/CVERecord?id=CVE-2026-44574
National Vulnerability Database (NVD)
2	CVE-2026-44574	https://nvd.nist.gov/vuln/detail/CVE-2026-44574

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-288	https://cwe.mitre.org/data/definitions/288.html

ベンダー情報

No	Name	URL
GitHub
1	Middleware / Proxy bypass through dynamic route parameter injection Advisory vercel/next.js GitHub	https://github.com/vercel/next.js/security/advisories/GHSA-492v-c6pp-mqqv

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 10:57 a.m.

NVD Vulnerability Information

CVE-2026-44574

Summary	Next.js is a React framework for building full-stack web applications. From 15.4.0 to before 15.5.16 and 16.2.5, applications that rely on middleware to protect dynamic routes can be vulnerable to authorization bypass. In affected deployments, specially crafted query parameters can alter the dynamic route value seen by the page while leaving the visible path unchanged, which can allow protected content to be rendered without passing the expected middleware check. This vulnerability is fixed in 15.5.16 and 16.2.5.
Publication Date	May 14, 2026, 2:16 a.m.
Registration Date	May 15, 2026, 4:21 a.m.
Last Update	May 14, 2026, 9:37 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vercel:next.js::::::node.js::*	15.4.0			15.5.16
cpe:2.3:a:vercel:next.js::::::node.js::*	16.0.0			16.2.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/vercel/next.js/security/advisories/GHSA-492v-c6pp-mqqv	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-288	代替パスまたはチャネルを使用した認証回避	https://cwe.mitre.org/data/definitions/288.html