- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月30日に執筆しています。
今回はNext.js(ネクストジェイエス)のバージョン情報とサポート期限についてまとめてみたいと思います。
Next.jsは、Vercel社が開発およびサポートをしているオープンソースのReactベースのフレームワークです。
Next.jsは、サーバーサイドレンダリング(SSR)や静的サイトジェネレーター(SSG)をはじめとする機能を有しており、SSRかSSGかをページ毎に設定できることから、表示速度の高速化によるSEO対策が重要なWeb制作の現場でも主力となりつつあります。
しかしながら、このフレームワークにも脆弱性は見つかります。
そのため、安全で円滑なWebサイトの運用のためには、Next.jsについても最新バージョンへのアップデートが欠かせません。
この記事では、企業のWeb担当者の皆様に向けて、Next.jsのバージョン情報とサポート期限についてまとめた上で、Next.jsの脆弱性についてもご紹介したいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
2024年9月30日現在、Next.js(ネクストジェイエス)の最新バージョンは14.2.13です。
公式がサポートをしているのは14系統と13系統のみですが、各メジャーバージョンにおける最終のパッチバージョン以外はサポートが終了しています。
Next.jsは、基本的に最新のパッチバージョン(14.2.13)と一つ前のメジャーバージョンの最終パッチバージョン(13.5.7)がサポート対象となります。
これは、Vercelが新しいメジャーバージョンを提供した後も、旧メジャーバージョンをすぐにサポート終了とせず、ある程度の期間は並行してサポートする方針をとっているからです。
とはいえ、最新のパッチバージョンにはセキュリティパッチ、不具合の修正の他、新しい機能が追加されますが、一つ前のメジャーバージョンの最終パッチバージョンには新しい機能は追加されないという違いがあります。
Next.jsの各バージョンについてのリリース日とサポート期限は次の通りです。
Next.jsのバージョン | リリース日 | サポート終了日 | 最新バージョン |
14 | 2023年10月26日 | サポート継続中 | 14.2.13 |
13 | 2022年10月26日 | サポート継続中 | 13.5.7 |
12 | 2021年10月26日 | 2022年11月21日 | 12.3.4 |
11 | 2021年6月15日 | 2022年1月27日 | 11.1.4 |
10 | 2020年10月27日 | 2021年6月15日 | 10.2.3 |
9 | 2019年7月8日 | 2020年10月27日 | 9.5.5 |
※グレーのバージョンは公式のセキュリティサポートが終了しています。
Next.jsで開発したアプリケーションに影響を与える脆弱性情報で、当社が把握しているものは次の通りです。
脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
CVSS v3
7.5 (重要) |
・Next.js 14.0.0から14.2.9
・Next.js 13.5.1から13.5.6 |
・Next.js 14.2.10
・Next.js 13.5.7 |
|
CVSS v3
7.5 (重要) |
・Next.js 13.4.0から13.4.19 | ・Next.js 13.5.0 | |
CVSS v3
7.5 (重要) |
・Next.js 13.4.0から14.1.0 | ・Next.js 14.1.1 | |
CVSS v3
7.5 (重要) |
・Next.js 13.4.0から13.5.0 | ・Next.js 13.5.1 | |
CVSS v3
5.3 (警告) |
・Next.js 12.2.3 | ・Next.js 12.2.4 | |
CVSS v3
7.5 (重要) |
・Next.js 10.0.0から12.0.10 | ・Next.js 12.1.0 | |
CVSS v3
7.5 (重要) |
・Next.js 12.0.0から12.0.8 | ・Next.js 12.0.9 | |
CVSS v3
7.5 (重要) |
・Next.js 12.0.0から12.0.4
・Next.js 11.1.0から11.1.2 |
・Next.js 12.0.5
・Next.js 11.1.3 |
|
CVSS v3
6.1 (警告) |
・Next.js 10.0.0から11.1.0 | ・Next.js 11.1.1 | |
CVSS v3
6.1 (警告) |
・Next.js 11.0.1までの全てのバージョン | ・Next.js 11.1.0 | |
CVSS v3
6.1 (警告) |
・Next.js 9.5.0から9.5.3 | ・Next.js 9.5.4 | |
CVSS v3
4.3 (警告) |
・Next.js 9.3.1までの全てのバージョン | ・Next.js 9.3.2 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急(9.0~10.0)、重要(7.0~8.9)、警告(4.0~6.9)に区分されるもののみを掲載しており、その他の情報については、
JVN iPediaなどでご確認ください。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulunerability Database(以下「NVD」)に準拠しています。NVDで未評価の場合には他の機関(GutHub,inc.等)の数値に合わせてあります。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報やNVDと異なる場合などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
前述のように、Next.jsは近年Web制作の現場でも主力となりつつあるフレームワークです。
しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイト・Webシステムの数が増え、あるいはWebサイト等の規模が大きくなるにつれて社内での対応が困難になることがあります。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社で、Next.jsでの開発実績も有します。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Next.jsでのWeb制作、Webシステム開発やアップデートを含む保守管理に関しては、こちらのお問合せよりお気軽にご相談ください。
taneCREATIVEに所属する謎のトラ。