【2024年9月版】Next.jsのバージョン情報とサポート期限

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月30日に執筆しています。

今回はNext.js(ネクストジェイエス)のバージョン情報とサポート期限についてまとめてみたいと思います。

Next.jsは、Vercel社が開発およびサポートをしているオープンソースのReactベースのフレームワークです。

Next.jsは、サーバーサイドレンダリング(SSR)や静的サイトジェネレーター(SSG)をはじめとする機能を有しており、SSRかSSGかをページ毎に設定できることから、表示速度の高速化によるSEO対策が重要なWeb制作の現場でも主力となりつつあります。

しかしながら、このフレームワークにも脆弱性は見つかります。
そのため、安全で円滑なWebサイトの運用のためには、Next.jsについても最新バージョンへのアップデートが欠かせません。

この記事では、企業のWeb担当者の皆様に向けて、Next.jsのバージョン情報とサポート期限についてまとめた上で、Next.jsの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Next.jsのバージョン情報に関するポイント

2024年9月30日現在、Next.js(ネクストジェイエス)の最新バージョンは14.2.13です。

公式がサポートをしているのは14系統と13系統のみですが、各メジャーバージョンにおける最終のパッチバージョン以外はサポートが終了しています。

Next.jsのリリース日とサポート期限

Next.jsは、基本的に最新のパッチバージョン(14.2.13)と一つ前のメジャーバージョンの最終パッチバージョン(13.5.7)がサポート対象となります。
これは、Vercelが新しいメジャーバージョンを提供した後も、旧メジャーバージョンをすぐにサポート終了とせず、ある程度の期間は並行してサポートする方針をとっているからです。

とはいえ、最新のパッチバージョンにはセキュリティパッチ、不具合の修正の他、新しい機能が追加されますが、一つ前のメジャーバージョンの最終パッチバージョンには新しい機能は追加されないという違いがあります。

Next.jsの各バージョンについてのリリース日とサポート期限は次の通りです。

Next.jsのバージョン リリース日 サポート終了日 最新バージョン
14 2023年10月26日 サポート継続中 14.2.13
13 2022年10月26日 サポート継続中 13.5.7
12 2021年10月26日 2022年11月21日 12.3.4
11 2021年6月15日 2022年1月27日 11.1.4
10 2020年10月27日 2021年6月15日 10.2.3
9 2019年7月8日 2020年10月27日 9.5.5

※グレーのバージョンは公式のセキュリティサポートが終了しています。

Next.jsの脆弱性情報

Next.jsで開発したアプリケーションに影響を与える脆弱性情報で、当社が把握しているものは次の通りです。

脆弱性情報 深刻度 影響を受けるバージョン 修正されたバージョン

CVE-2024-46982
CVE-2024-46982 Detail

CVSS v3
7.5 (重要)
・Next.js 14.0.0から14.2.9
・Next.js 13.5.1から13.5.6
・Next.js 14.2.10
・Next.js 13.5.7

CVE-2024-39693
CVE-2024-39693 Detail

CVSS v3
7.5 (重要)
・Next.js 13.4.0から13.4.19 ・Next.js 13.5.0

CVE-2024-34351
CVE-2024-34351 Detail

CVSS v3
7.5 (重要)
・Next.js 13.4.0から14.1.0 ・Next.js 14.1.1

CVE-2024-34350
CVE-2024-34350 Detail

CVSS v3
7.5 (重要)
・Next.js 13.4.0から13.5.0 ・Next.js 13.5.1

CVE-2022-36046
JVNDB-2022-016129

CVSS v3
5.3 (警告)
・Next.js 12.2.3 ・Next.js 12.2.4

CVE-2022-23646
JVNDB-2022-006170

CVSS v3
7.5 (重要)
・Next.js 10.0.0から12.0.10 ・Next.js 12.1.0

CVE-2022-21721
JVNDB-2022-004547

CVSS v3
7.5 (重要)
・Next.js 12.0.0から12.0.8 ・Next.js 12.0.9

CVE-2021-43803
JVNDB-2021-015915

CVSS v3
7.5 (重要)
・Next.js 12.0.0から12.0.4
・Next.js 11.1.0から11.1.2
・Next.js 12.0.5
・Next.js 11.1.3

CVE-2021-39178
JVNDB-2021-010977

CVSS v3
6.1 (警告)
・Next.js 10.0.0から11.1.0 ・Next.js 11.1.1

CVE-2021-37699
JVNDB-2021-010510

CVSS v3
6.1 (警告)
・Next.js 11.0.1までの全てのバージョン ・Next.js 11.1.0

CVE-2020-15242
JVNDB-2020-012273

CVSS v3
6.1 (警告)
・Next.js 9.5.0から9.5.3 ・Next.js 9.5.4

CVE-2020-5284
JVNDB-2020-003540

CVSS v3
4.3 (警告)
・Next.js 9.3.1までの全てのバージョン ・Next.js 9.3.2

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、 JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。NVDで未評価の場合には他の機関(GutHub,inc.等)の数値に合わせてあります。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報やNVDと異なる場合などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Next.jsのバージョンアップを継続する体制について

前述のように、Next.jsは近年Web制作の現場でも主力となりつつあるフレームワークです。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイト・Webシステムの数が増え、あるいはWebサイト等の規模が大きくなるにつれて社内での対応が困難になることがあります。

当社に関して

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Next.jsでの開発実績も有します。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Next.jsでのWeb制作、Webシステム開発やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。