#Next.js

Next.jsのWebSocketアップグレードSSRFはセルフホストだけが踏むCVE-2026-44578

CVE-2026-44578は、Next.jsの組み込みNode.jsサーバーをセルフホストしている環境でWebSocketアップグレードリクエストから内部HTTPリクエストを投げられるSSRF。Vercel上は対象外で、15.5.16または16.2.5以上への更新が修正になる。

pnpm vs npm vs yarn 2026をNext.jsモノレポの実測で比べる

Next.js 16 + Shadcn/ui + Railwayのモノレポ実測で、キャッシュなしCIのinstallがpnpmでnpmの半分以下になる一方、Radix UIの未宣言依存で壊れる場面まで出ていた。速度よりhoisting設定を読む記事。

Next.js 16.2.6と15.5.18はMiddlewareバイパスとRSC DoSを同時に塞ぐセキュリティ更新

Next.js 16.2.6 / 15.5.18のセキュリティ更新を確認した。App Router、Middleware / Proxy、RSC、self-hosted Node.js serverで影響が変わるので、アップグレード前に見る場所を絞る。

Stripe Checkoutの価格改ざん脆弱性

Stripe CheckoutでamountやpriceIdをリクエスト本文から受け取ると、ユーザーが価格やプランを差し替えられる。サーバー側で価格を決める実装に寄せる。

VoteWise AIで見るNext.jsとGemini 2.5 Flashの選挙ガイドAI

VoteWise AIは、選挙制度の説明を多言語チャット、音声、ストーリーモードに寄せたNext.js製の civic tech 実装。Gemini 2.5 Flashを政治・選挙文脈で使うときの設計上の注意点も整理する。

React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取

Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182（React2Shell）を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。

CloudflareがAIで1週間でNext.jsをVite上に再実装、vinextが本番稼働

1人のエンジニアとAIが$1,100のトークンコストでNext.jsをVite上に再実装。ビルド4.4倍速、バンドル57%削減を達成したvinextが公開初週に本番稼働した。

Mintlify脆弱性はReact2Shellとは別物：フレームワークの責任と実装者の責任

Mintlifyで発見された脆弱性とReact2Shellの違いを解説。フレームワーク側の問題と実装者側の問題を区別することの重要性について。

React2ShellがめんどくさすぎてNext.jsからAstroに移行した

CVSS 10.0のReact2Shell、修正したら別の脆弱性、また修正…。もう疲れたのでAstroに移行した。shadcn UIを60個入れて1個しか使ってなかった反省も込めて。

【Next】npmが壊れたのでpnpmに切り替えた【React2Shell脆弱性】

Next.js/Reactの脆弱性対策でnpm installが謎のエラーで失敗。pnpmに切り替えたら即解決した記録

Next.js / Reactの脆弱性「React2Shell」対応メモ

CVSS 10.0の脆弱性React2Shell（CVE-2025-55182 / CVE-2025-66478）と追加のDoS・ソースコード露出脆弱性について、影響範囲の確認方法、対策手順をまとめる