Next.jsのCVE-2025-66478(React2Shell)とは?影響範囲と今すぐやること
2026-02-19 · 1 min read
Next.js App Routerの重大脆弱性CVE-2025-66478(React2Shell)の概要、影響するバージョン、修正版、運用でやるべき最低限を短くまとめます。
何が起きた?(1分要約)
Next.js(App Router / RSC)に、細工されたリクエストをきっかけに重大な挙動につながり得る脆弱性が報告されました。 運用者がやるべきことはシンプルで、修正済みバージョンへ即アップデートし、必要ならシークレットのローテーションを行うことです。
影響する範囲
Next.jsの公式アドバイザリでは、App Router(RSC)を使う特定範囲のバージョンが対象になっています。 (Pages Router中心の構成は対象外のことが多い)
修正版(どれに上げるべき?)
今回、Vercelがビルド時にブロックするケースがあります。 Next.js公式の修正版に上げるのが最短です。
- 15.1.9 以降(例)
運用で「最低限」やること
- Next.jsを修正版へ上げる
- 公開済みで未修正期間があったなら、重要なシークレットから順にローテーション
- CIで
npm auditだけに頼らず、ホスティング側の警告も即対応
参考(一次情報)
- Next.js Security Advisory: CVE-2025-66478