Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Next.js は、フルスタック Web アプリケーションを構築するための React フレームワークです。バージョン 16.0.1 より前のバージョン 16.1.7より前のバージョンでは、「next-resume: 1」ヘッダーを含むリクエストPPR 再開リクエストに対応するが、特定の設定で「maxPostponedStateSize」を一貫して実行せずにリクエスト本体をバッファリングしていました。以前の緩和策は最小モードのデプロイメントを保護しましたが、同等の非最小デプロイメントは同じ無制限の延期された再開本体バッファリング動作に対して脆弱なままです。Partial Prerendering 機能が有効化された App Router を「experimental.ppr」または「cacheComponents」を介して使用するアプリケーションでは、攻撃者が、非最小デプロイメントで一貫したサイズの強制なしでバッファリングされたオーバーサイズの「next-resume」POST ペイロードを送信する可能性があります。これにより、過剰なメモリ使用およびサービス拒否の可能性。
    これは、すべての延期された本文バッファリングパスと制限を超えた際のエラーでサイズ制限を強制することにより、バージョン 16.1.7 で修正されています。アップグレードがすぐに不可能な場合は、「next-resume」ヘッダーを含むリクエストをブロックします。これは、信頼できないクライアントから送信されるものとして有効ではないためです。CVE-2026-27979

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-27979

medium Nessus プラグイン ID 302933

バージョン 1.2

バージョン 1.1

バージョン 1.2 Mar 20, 2026, 10:49 AM CVSS metrics ("CVSSv2 score" set to 7.8) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C") CVSSv2 severity (based on CVE-2026-27979, severity increased from "Medium" to "High") Plugin Feed: 202603201049
バージョン 1.1 Mar 19, 2026, 12:10 PM New Plugin Feed: 202603191210