LOWCVE-2025-49005CVSS 3.7

Next.js には、Vary ヘッダーの省略によるキャッシュポイズニングの脆弱性があります

Q: CVE-2025-49005 — キャッシュポイズニング in Next.js App Routerとは何ですか？

CVE-2025-49005は、Next.js App Routerのバージョン15.3.0から15.3.3におけるキャッシュポイズニングの脆弱性です。特定の条件下で、悪意のあるRSCペイロードがキャッシュされ、ユーザーに誤ったコンテンツが表示される可能性があります。

Q: CVE-2025-49005 in Next.js App Routerの影響はありますか？

Next.js App Routerのバージョン15.3.0から15.3.3を使用している場合は、影響を受ける可能性があります。攻撃者はキャッシュを悪用して、悪意のあるコンテンツを表示させることが可能です。

Q: CVE-2025-49005 in Next.js App Routerを修正するにはどうすればよいですか？

Next.jsをバージョン15.3.3にアップグレードし、アプリケーションを再デプロイしてください。これにより、脆弱性が修正され、キャッシュの動作が正常に戻ります。

Q: CVE-2025-49005は積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、Next.jsの広範な利用を考えると、将来的に悪用されるリスクはあります。

Q: CVE-2025-49005に関するNext.jsの公式アドバイザリはどこで入手できますか？

Vercelのセキュリティアドバイザリで確認できます: [CVE-2025-49005](https://vercel.com/changelog/cve-2025-49005)

プラットフォーム

nodejs

コンポーネント

修正版

15.3.1

15.3.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Next.js App Routerのバージョン15.3.0から15.3.3の間で、特定の条件下でキャッシュポイズニングの脆弱性が確認されています。この脆弱性により、RSC（React Server Components）ペイロードがHTMLの代わりにキャッシュされ、誤ったコンテンツがユーザーに提供される可能性があります。影響を受けるバージョンを使用している場合は、速やかにNext.js 15.3.3にアップグレードし、アプリケーションを再デプロイすることを推奨します。

影響と攻撃シナリオ

この脆弱性は、攻撃者がNext.jsアプリケーションのキャッシュを悪用し、悪意のあるRSCペイロードをキャッシュに挿入することを可能にします。これにより、正規のHTMLコンテンツの代わりに、攻撃者が制御するコンテンツがユーザーに表示される可能性があります。攻撃者は、ユーザーをフィッシングサイトに誘導したり、悪意のあるスクリプトを実行したりする可能性があります。この脆弱性の影響範囲は、キャッシュされたコンテンツを利用するすべてのユーザーに及ぶ可能性があります。キャッシュの有効期限が長いほど、影響は拡大する可能性があります。

悪用の状況

この脆弱性は、CISAのKEV（Known Exploited Vulnerabilities）カタログに掲載されている可能性があります。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、Next.jsの広範な利用を考えると、将来的に悪用されるリスクはあります。NVD（National Vulnerability Database）およびVercelのセキュリティアドバイザリを定期的に確認し、最新の情報を入手するようにしてください。

リスク対象者翻訳中…

Organizations using Next.js App Router versions 15.3.0 through 15.3.2 are at risk. This includes developers building server-rendered React applications and those relying on Next.js's caching mechanisms for performance optimization. Applications with complex middleware configurations or extensive use of redirects are particularly vulnerable.

検出手順翻訳中…

• nodejs / server: Inspect Next.js application logs for unusual caching patterns or errors related to RSC rendering.

 grep -i 'rsc' /path/to/nextjs/logs/app.log

• nodejs / server: Monitor application performance for unexpected delays or errors that could indicate malicious RSC payloads being served. • generic web: Check response headers for unexpected caching directives or unusual content-types. • generic web: Review application code for any custom middleware or redirect configurations that might be contributing to the vulnerability.

攻撃タイムライン

2025-07-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard67% まだ脆弱

EPSS

0.13% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントnext

ベンダーosv

影響範囲修正版

>= 15.3.0, < 15.3.3 – >= 15.3.0, < 15.3.315.3.1

15.3.015.3.3

弱点分類 (CWE)

CWE-444

タイムライン

予約済み2025-05-29
公開日2025-07-03
更新日2026-02-04
EPSS 更新日2026-03-23

公開後-34日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、Next.jsをバージョン15.3.3にアップグレードすることです。アップグレード後、アプリケーションを再デプロイして、新しいキャッシュ設定が適用されるようにしてください。アップグレードがアプリケーションの動作に影響を与える場合は、キャッシュの有効期限を短縮したり、キャッシュキーを調整したりするなど、一時的な回避策を検討してください。WAF（Web Application Firewall）を導入し、不正なRSCペイロードのキャッシュをブロックすることも有効です。

修正方法

Next.js をバージョン 15.3.3 以降にアップデートしてください。これにより、Vary ヘッダーの省略によって引き起こされるキャッシュポイズニングの脆弱性が修正されます。アップデートにより、HTML レスポンスと React Server Component (RSC) ペイロードがキャッシュ内で正しく処理されるようになります。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-49005 — キャッシュポイズニング in Next.js App Routerとは何ですか？