Next.js の脆弱性 CVE-2025-66478, CVE-2025-55182 に対応した話

最近、Next.js に CVE-2025-66478（Next.js 上では CVE-2025-55182） という脆弱性が報告されました。
この脆弱性は React Server Components（RSC） や react-server-dom-* コンポーネントに影響し、最悪の場合リモートコード実行のリスクがあります。

脆弱性の概要

• 影響を受けるコンポーネント：
  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack
• 影響のある Next.js のバージョン：
  • 15.0.0 ～ 15.5.6
• 影響のある React のバージョン：
  • 19.0.0、19.1.0、19.1.1、19.2.0
• App Router や Server Components をサポートしているだけでも脆弱になる可能性あり
• 脆弱性の報告者：Meta の Lachlan Davidson 氏
• 公開日：2025年11月29日、修正開始日：12月1日

私が行った対応

1. Next.js のアップデート

   Bashコピー

   • 15.5.7 は修正済みバージョン
   • React も対策済みバージョンに更新

2. 依存関係の確認

   Bashコピー

   • 脆弱性対象のコンポーネントが修正済みバージョンになっていることを確認

3. ローカルでの動作確認

   Bashコピー

   • App Router や Server Components を使用しているページが問題なく動作することを確認

4. 本番環境への反映

   • ステージングで動作確認後、本番環境にデプロイ

まとめ

• CVE-2025-66478 / CVE-2025-55182 は React Server Components をサポートしている Next.js アプリで潜在的に影響あり
• 対策済みの Next.js 15.5.7 以上、React 19.0.1 以上にアップデートすることで解決
• マイナーアップデートなので、基本的には既存のアプリ動作は変わらない
• 依存関係やビルド・動作確認を行うことで安全にアップデート可能

---

個人的な教訓としては、公式から脆弱性情報が出たら即座に対象バージョンを確認し、テスト環境で安全にアップデートすることが大切だと感じました。