脆弱性の影響、影響を受けるコンポーネント、安全確保のための緊急対策
CVE-2026-23869 : 把握しておくべきポイント
4月8日、React Server Components において新たに深刻度の高い脆弱性 (CVSS 7.5) が確認されました。この脆弱性は、サービス妨害攻撃につながる可能性があります。
Fastly Next-Gen WAF をご利用のお客様は、新しい仮想パッチを有効化することで、基盤コンポーネントへのパッチ適用中も、悪用の試みから即座に保護できます。
影響を受けるコンポーネントは以下の通りです。
App Router を使用する Next.js 13.x、14.x、15.x、16.x、およびパッケージ
react-server-dom-turbopack、react-server-dom-parcel、react-server-dom-webpackのバージョン
19.0.0 - 19.0.4
19.1.0 - 19.1.5
19.2.0 - 19.2.4
CVE-2026-23869 による影響とは?
パッチが適用されていない環境で CVE-2026-23869 が悪用されると、サービス妨害攻撃が引き起こされる可能性があります。Vercel によると、この脆弱性による影響は、任意の App Router Server Function エンドポイントに送信できるように特別に細工された HTTP リクエストに起因し、デシリアライズ処理時に過剰な CPU 消費を引き起こす可能性があります。
可能な対策
基盤となるコンポーネントにできるだけ早くパッチを適用する必要がありますが、その作業に時間がかかる場合があります。そこで、即時の保護対策として、Next-Gen WAF の仮想パッチをリリースしました。以下は、この仮想パッチにアクセスするための主なステップです。
Security > Next-Gen WAF > Workspaces の順に移動します。
変更したいワークスペースの横にある歯車アイコンをクリックします。
「Virtual patches」をクリックします。
必要な仮想パッチを見つけて有効にし、必要に応じてログモードからブロックモードに切り替えます。
私たちは、お客様がビジネスクリティカルなサービスのレジリエンスを Fastly に託していることを承知しています。そのため、CVE- 2026-23869 のような予期せぬ問題が発生した際にお客様を支えることが、当社の使命の中核にあります。その一環として、影響を受けるシステムにパッチを適用する間もお客様が安心できるように、仮想パッチを提供しています。
仮想パッチの詳細については、Fastly のドキュメントをご覧ください。また、アプリ内の AI アシスタントが詳しい手順をご案内します。長年にわたり Fastly プラットフォームをご利用のお客様も、即時の保護を必要とする新規のお客様も、当社のチームが継続的な対策を支援します。ご要望があれば、ぜひお知らせください。