概要
セキュリティ研究者らが特定した next-mdx-remote の脆弱性により、不審な MDX コンテンツが処理された場合、攻撃者がサーバー上で任意のコードを実行できる可能性があります。この脆弱性は CVE-2026-0969 としてトラッキングされており、ハシコープ社によって2月11日に公表されました。
詳細
CVE-2026-0969は、next-mdx-remote バージョン 4.3.0 から 5.0.0 の serialize 関数における不十分な検証が原因で発生します。この脆弱性により、攻撃者はユーザー供給の MDX コンテンツを通じて悪意のあるコードを注入し、影響を受けたサーバー上でリモートコード実行を行う可能性があります。
対策
ハシコープ社はバージョン 6.0.0 でこの脆弱性に対処しました。この更新版では、デフォルトで blockJS オプションを true に設定することで JavaScript 表現の実行を無効化し、任意のコード実行を防止します。ただし、JavaScript 表現が必要なアプリケーションについては、blockDangerousJS オプションが追加され、デフォルトで有効になっています。
影響範囲
この脆弱性は、不審なユーザー入力が処理されるサーバー環境で next-mdx-remote を使用している組織に重大な脅威をもたらします。アップグレードにより、任意のコード実行のリスクを排除することが強く推奨されています。管理者は新しいセキュリティオプションの適切な設定と JavaScript 表現が必須である場合のみ有効化されることを確認する必要があります。
CVE ID 詳細
- CVE-2026-0969: 不十分な検証により、JavaScript 表現が有効な場合の不審な MDX コンテンツ処理時に任意のコード実行を可能にする脆弱性
- 影響範囲: 4.3.0 – 5.0.0