詳細を読む
Vercelは2025年12月5日、脆弱性「React2Shell」対策として、脆弱なNext.jsを含むアプリの新規デプロイをブロックする措置を開始しました。攻撃の活発化を受け、エンジニアやリーダーは直ちに対応が必要です。
今回の措置により、修正パッチが適用されていないNext.js(バージョン15.0.0から16.0.6)を使用するプロジェクトは、デプロイが自動的に失敗します。これはWAFによるフィルタリングに加え、根本的なリスク排除を目的とした強力な強制措置といえます。
経営者やエンジニアが最優先すべきは、影響を受けるNext.jsを直ちに修正済みバージョンへアップグレードすることです。VercelはWAFルールで既知の攻撃を防御していますが、完全な保護を保証するものではなく、アップデートこそが唯一の恒久的な解決策となります。
またVercelは、セキュリティ企業のHackerOneと提携し、WAFの回避策を発見した場合に最大5万ドルを支払うバグ報奨金プログラムを開始しました。外部の研究者の知見を取り入れ、プラットフォーム全体の防御能力を継続的に強化する姿勢を打ち出しています。
ご自身のプロジェクトが影響を受けるか確認するには、ブラウザコンソールで`next.version`を実行するか、`package.json`を点検してください。Vercelの管理画面にも警告バナーが表示されるため、見逃さずに確実な対応を進めましょう。