Next.jsの自己ホスト環境に、1件のHTTPリクエストだけでサーバーを強制クラッシュさせられる深刻な欠陥が見つかった。極めて小さな端末からでも攻撃可能とされる。

問題はcloneBodyStreamの内部処理にあり、無制限にRAMへ蓄積してしまう設計を悪用されると、攻撃者は無限ストリームを送り続けるだけでサーバーのメモリを枯渇させられる。通常のDoSと異なり送信側の負荷は極小で、企業規模のサーバーでも容易に停止させられる点が特徴だ。AIによる別脆弱性の検証中に偶然ゼロデイとして発見されたとされる。

影響を受けるのはミドルウェアを利用する自己ホスト型アプリで、Vercel上のホスト環境は対象外とされる。普及率の高さから攻撃面は広く、Vercelは10MB制限を導入して修正済みで、即時更新が推奨される。更新できない場合はNginxなどのプロキシ側でサイズ制限を設定し、巨大リクエストを事前に遮断する必要がある。