Authorization Bypass in Next.js Middleware
Next.js 15.2.3未満で認証をバイパスできる脆弱性の通知がGitHubから飛んできたので、一応このブログもアップデートしました。 攻撃者が特定のHTTPヘッダーを操作することで、ミドルウェアの認証チェックを迂回 し、保護されたリソースにアクセスできてしまう問題のようです。 アップデートの手順は次の通りです。CVE情報
アップデート手順
# Next.jsのアップデート
npm install next@15.2.3 @next/mdx@15.2.3 eslint-config-next@15.2.3
# npx next updateでもいいか。
# アップデート後問題ないか、一応Lintをかけておく
npm run lint