プラットフォーム
nodejs
コンポーネント
next
修正版
15.0.0
15.0.1
15.0.2
15.0.3
15.0.4
15.1.0
15.1.1
15.1.2
15.1.3
15.1.4
15.1.5
15.1.6
15.1.7
15.2.0
15.2.1
15.2.2
15.2.3
15.2.4
15.2.5
15.3.0
15.3.1
15.3.2
15.1.8
15.3.3
15.4.0
15.3.4
15.3.5
15.4.1
15.4.2
15.4.3
15.4.4
15.4.5
15.4.6
15.4.7
15.5.0
15.5.1
15.5.2
15.5.3
15.5.4
15.5.5
15.5.6
15.5.7
15.4.8
15.1.9
15.0.5
15.3.6
15.2.6
15.5.8
15.4.9
15.3.7
15.2.7
15.1.10
15.0.6
15.5.9
15.4.10
15.3.8
15.2.8
15.1.11
15.0.7
16.1.5
15.6.1
16.1.6
15.6.0-canary.61
16.1.5
Next.js の Partial Prerendering (PPR) 機能において、minimal モードで運用されている環境において、サービス拒否 (DoS) の脆弱性が確認されています。この脆弱性は、攻撃者が不正な POST リクエストを送信することで、サーバーのメモリを枯渇させ、最終的にサーバープロセスをクラッシュさせる可能性があります。影響を受けるバージョンは、PPR が有効な Next.js です。バージョン 16.1.5 以降にアップデートすることで、この脆弱性は修正されています。
CVE-2025-59472 は、Next.js で Partial Prerendering (PPR) を使用し、最小モードで実行されている場合に影響します。これにより、攻撃者は PPR の再開エンドポイントを悪用して、サービス拒否 (DoS) 攻撃を引き起こすことができます。このエンドポイントは、Next-Resume: 1 ヘッダーが付いた認証されていない POST リクエストを受け入れ、攻撃者が制御する保留中の状態データを処理します。この脆弱性は、2 つの関連する問題として現れます。第一に、POST リクエストボディのバッファリングが制限されず、過剰なメモリを消費します。第二に、このデータの処理が非効率的であり、メモリの枯渇につながり、最終的にサーバープロセスがクラッシュします。CVSS の深刻度は 5.9 で、中程度のリスクを示します。このリスクを軽減するためには、バージョン 16.1.5 へのアップグレードが不可欠です。
攻撃者は、非常に大きなリクエストボディまたは保留中の状態データを含む、PPR の再開エンドポイントに悪意のある POST リクエストを送信することで、この脆弱性を悪用する可能性があります。エンドポイントは認証を必要としないため、ネットワークアクセスできる人は誰でもこの脆弱性を悪用する可能性があります。Next.js の最小モードは、パフォーマンスを最適化するように設計されていますが、この場合、攻撃ベクトルとなります。悪用が成功すると、サービス拒否が発生し、サーバーが正規のリクエストを処理できなくなり、アプリケーションの可用性に影響を与えます。再開エンドポイントにおける認証の欠如が、この悪用を可能にする主な要因です。
Applications utilizing Next.js with Partial Prerendering (PPR) enabled in minimal mode are at risk. This includes deployments where PPR is used to improve initial load times and SEO, particularly those running in production environments with limited resource constraints. Shared hosting environments using Next.js are also potentially vulnerable.
• nodejs / server:
ps aux | grep -i nextjs• nodejs / server:
journalctl -u nextjs | grep -i "Buffer.concat"• nodejs / server:
curl -v -X POST -H 'Next-Resume: 1' --data-binary @/dev/null https://your-nextjs-app.com/resume | head -n 20disclosure
エクスプロイト状況
EPSS
0.09% (25% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2025-59472 を軽減するための主な解決策は、Next.js のバージョン 16.1.5 以降にアップグレードすることです。このバージョンには、バッファリングおよびデータ処理の脆弱性を修正するための修正が含まれています。即時アップグレードが不可能な場合は、サーバーの POST リクエストボディの最大サイズを制限するなど、一時的な軽減策を実装することを検討してください。さらに、PPR の構成をレビューおよび保護し、承認されたリクエストのみが再開エンドポイントにアクセスできるようにする必要があります。サーバーのメモリ使用量を監視することは、潜在的な DoS 攻撃を検出するために不可欠です。これらの対策を実装することで、攻撃対象領域を縮小し、Next.js アプリケーションを保護することができます。
Actualice Next.js a la versión 15.6.0-canary.61 o superior, o a la versión 16.1.5 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inseguro de datos en el endpoint PPR resume. Asegúrese de deshabilitar `experimental.ppr: true` o `cacheComponents: true` y eliminar la variable de entorno `NEXT_PRIVATE_MINIMAL_MODE=1` si no puede actualizar inmediatamente.
脆弱性分析と重要アラートをメールでお届けします。
PPR (Partial Prerendering) は、Next.js の機能で、一部のルートをサーバー側でレンダリングし、残りをクライアント側でレンダリングすることで、パフォーマンスを最適化します。この脆弱性は、PPR の再開エンドポイントにあります。このエンドポイントは、レンダリングプロセスを再開するために使用されます。
Next.js の最小モードは、サーバー側で実行されるコードの量を減らすことでパフォーマンスを最適化するように設計されています。しかし、この場合、この最適化により脆弱性が生じます。
PPR を最小モードで使用しており、バージョン 16.1.5 以降にアップグレードしていない場合は、アプリケーションが脆弱です。
はい、サーバーの POST リクエストボディの最大サイズを制限し、PPR の構成をレビューおよび保護することができます。
サーバーのメモリ使用量を監視し、サーバーログで疑わしい活動がないか確認し、できるだけ早く Next.js のバージョン 16.1.5 にアップグレードしてください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。