2025/12/3 (日本時間：GMT+9)、Next.jsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Next.js
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.6.4 || >=2.0.0 <2.0.1
 

==概要== 
このモジュールは、Next.jsとDrupalの統合を可能にし、ヘッドレスCMS機能を実現します。

このモジュールはインストール時にクロスオリジンリソース共有（CORS）を自動的に有効化しますが、その際に安全ではない設定（Access-Control-Allow-Origin: *）を使用し、services.yml内のCORS設定を上書きしてしまいます。これにより、管理者の認識や同意なしに、任意のオリジンからサイトへのクロスオリジンリクエストが可能となります。

この脆弱性は、この動作を無効化する設定オプションが存在しないため、全てのインストール環境に影響します。
 

==解決方法==
解決には２段階の対応が必要です。まず最新バージョンをインストールし、その後設定を確認してください。

1. モジュールのアップデート
   Drupal 10または11でNext.jsモジュールを使用している場合、Next.js 2.0.1にアップグレードしてください。
   Drupal 9（1.x ブランチ）でNext.jsモジュールを使用している場合、Next.js 1.6.4にアップグレードしてください。
    
2. アップグレード後、sites/default/services.ymlからCORSの設定を確認してください。（詳細はこのモジュールに含まれているCORS.mdを参照してください。）
   特に、以前自動的に設定されるCORS構成に依存していた場合は必ず確認が必要です。

==元記事==
https://www.drupal.org/sa-contrib-2025-122