世界で最も広く使用されているReactフレームワークの1つであるNext.jsの高リスク脆弱性により、数千の組織が認証情報盗取、APIキー露出、内部管理パネルへの不正アクセスのリスクにさらされています。
CVE-2026-44578として追跡され、CVSSスコアは8.6で、セルフホスト型Next.jsアプリケーションがWebSocketアップグレードリクエストを処理する方法の重大な脆弱性を狙っており、サーバーサイドリクエストフォージェリ(SSRF)攻撃への道を開いています。
攻撃者は悪意のあるWebSocketアップグレードリクエストを作成して、サーバーをだまし、IAM認証情報やアクセストークンなどの極めて機密性の高いデータを保存するクラウドインフラストラクチャエンドポイントやメタデータAPIを含む、意図していない内部宛先へのトラフィックを転送させることができます。
特に懸念される点は、この脆弱性の悪用に認証やユーザーのやり取りが不要であることです。
組み込みNode.jsサーバー上で実行されている公開アクセス可能なNext.jsデプロイメントは、すべて潜在的に露出しています。
最も危険な悪用シナリオの1つはクラウドメタデータエンドポイントを含みます。例えば、AWS上でホストされているアプリケーションを狙う攻撃者は、SSRF条件を悪用してインスタンスメタデータサービスをクエリし、一時的なIAM認証情報を静かに取得することができます。
これらの認証情報は、その後、特権をエスカレートするか、組織のクラウド環境内で横方向に移動するために使用される可能性があり、すべて標準的な認証アラートをトリガーすることなく行われます。
Vercel上で実行している組織は影響を受けません。プラットフォームが追加のリクエストルーティング保護手段を実装しているためです。しかし、独自インフラストラクチャを管理するチームは大きなリスクに直面しています。
Next.jsセキュリティチームは迅速に対応し、パッチが適用されたバージョン15.5.16および16.2.5をリリースしました。
これらの更新により、WebSocketアップグレードリクエストに対してより厳密な検証が導入され、明示的に信頼された外部リライトのみが許可されるようになり、WebSocketハンドリングが既存のHTTPセキュリティコントロールと一致するようになります。
すぐにパッチを適用できない組織の場合、次の軽減策が強く推奨されます:
この事件は、より広い懸念すべきトレンドを反映しています。モダンWebフレームワークは、バックエンドインフラストラクチャとクラウドサービスとの深い統合のため、ますます価値の高い攻撃対象になってきています。
SSRF脆弱性の高度化が続く中、セキュリティチームはあらゆるレイヤーでより厳密なネットワークコントロールと入力検証を実施する必要があります。
本番環境でNext.jsを実行している組織は、これを優先度の高いパッチとして扱い、クラウド認証情報の露出と内部ネットワーク境界の徹底的なレビューを実施する必要があります。
翻訳元: https://cyberpress.org/next-js-flaw-api-keys-admin-panels/
