緊急:Next.jsセキュリティアップデートで重大な脆弱性を修正
2025-03-22
Next.jsは、不正アクセスを許容する可能性のある重大なセキュリティ脆弱性(CVE-2025-29927)に対処するため、バージョン15.2.3をリリースしました。この脆弱性は、ミドルウェアの`x-middleware-subrequest`ヘッダーの処理にあり、認証などの重要なセキュリティチェックを攻撃者がバイパスできる可能性があります。`next start`と`output: 'standalone'`を使用するすべての自己ホスト型Next.jsデプロイメントは、ただちにアップデートすることを強く推奨します。Next.js 14.xと13.xのパッチも利用可能です。
開発