セキュリティ

SECURITY

公開：2024-11-12

【CVE-2024-47831】Next.js 14.2.7未満のバージョンに深刻なDoS脆弱性、画像最適化機能の悪用でCPU過剰消費のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Next.jsの画像最適化機能にDoS脆弱性が発見
• バージョン10.x～14.xの14.2.7未満が対象
• 過度のCPU消費につながる可能性あり

Next.js 14.2.7未満のDoS脆弱性に対する対応

Next.jsは2024年10月14日に画像最適化機能におけるDoS脆弱性【CVE-2024-47831】を公開した。この脆弱性は10.x、11.x、12.x、13.x、14.xのブランチにおけるバージョン14.2.7未満で確認されており、画像最適化機能を悪用された場合に過度のCPU消費を引き起こす可能性がある。^[1]

この脆弱性はVercelでホストされているNext.jsアプリケーションには影響がなく、next.config.jsでimages.unoptimizedをtrueに設定している場合やimages.loaderをデフォルト以外の値に設定している場合も影響を受けない。対策としてNext.js 14.2.7へのアップデートが推奨されており、速やかな対応が求められる。

CVSSスコアは5.9（Medium）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは高いとされている。特権レベルは不要だが、ユーザーの関与も不要という特徴があり、影響範囲は限定的ながらも可用性への影響が高いと判断されている。

Next.js 14.2.7未満の脆弱性概要

Denial of Service（DoS）について

Denial of Service（DoS）とは、システムやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用できない状態にする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムリソースの過剰消費による機能停止
• 正規ユーザーのサービス利用が困難に
• CPU、メモリ、ネットワーク帯域などが攻撃対象

Next.jsの画像最適化機能における今回のDoS脆弱性は、特にCPUリソースの過剰消費を引き起こす可能性がある。攻撃者によってCPUリソースが枯渇させられることで、Webアプリケーション全体のパフォーマンスが低下し、正常なサービス提供が困難になる可能性が指摘されている。

Next.jsの画像最適化機能の脆弱性に関する考察

Next.jsの画像最適化機能におけるDoS脆弱性の発見は、Webアプリケーションのセキュリティ対策の重要性を再認識させる契機となった。特にVercelによる迅速な脆弱性の公開と対策版のリリースは、オープンソースプロジェクトにおけるセキュリティインシデント対応の模範となる取り組みである。

今後の課題として、画像最適化機能のリソース使用量の監視とコントロールをより強化する必要がある。リソース制限の実装やアクセス制御の強化など、システムの可用性を確保しつつセキュリティを担保する技術的な施策の検討が求められるだろう。

Next.jsの開発チームには、画像最適化機能のさらなる改善とセキュリティ強化が期待される。特にリソース使用量の制御機能や異常検知の仕組みの導入など、DoS攻撃への耐性を高める施策の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47831, (参照 24-11-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧