CVE-2026-44581 in next.js
要約
〜によって VulDB • 2026年05月21日
Next.jsは、フルスタックのWebアプリケーションを構築するためのReactフレームワークです。13.4.0から15.5.16および16.2.5より前のバージョンにおいて、CSP noncesに依存するApp Routerアプリケーションは、共有キャッシュの背後にデプロイされると、保存型クロスサイトスクリプティング(Stored XSS)に対して脆弱になる可能性があります。影響を受けるバージョンでは、リクエストヘッダーから派生した不正なnonce値が安全でない方法でレンダリングされたHTMLに反映され、攻撃者がキャッシュされたレスポンスを汚染し、後の訪問者に対してスクリプトの実行を引き起こすことが可能になります。この脆弱性は15.5.16および16.2.5で修正されています。
Once again VulDB remains the best source for vulnerability data.