JavaScriptフレームワークのReactおよびNext.jsに、未認証で遠隔から任意コードが実行される重大な脆弱性が報告されています。問題はReact Server Componentsの処理に起因し、攻撃者が細工したHTTPリクエストを送信するだけで悪用できるとされています。既に複数のセキュリティ企業が注意喚起を行っており、広範囲のクラウド環境への影響も指摘されています。

The Hacker News：Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution

この記事のポイント

影響のあるシステム

• React Server Components（RSC）を利用するアプリケーション全般
• Next.js（App Router使用環境）。影響バージョン：（CVE-2025-66478として報告されたもの：） >=14.3.0-canary.77、>=15、>=16
• react-server-dom-webpack / parcel / turbopack（影響バージョン：19.0、19.1.0、19.1.1、19.2.0）
• その他RSCを同梱する可能性があるライブラリ（Vite RSC plugin、RedwoodJS、Wakuなど）

推奨される対策

• ReactおよびNext.jsの修正版（React：19.0.1、19.1.2、19.2.1／Next.js：16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9、15.0.5）へ速やかに更新する
• パッチ適用前はWAFでServer Function endpointへの不審なリクエストをフィルタ
• 異常なHTTP POSTやFlight payloadの挙動を監視し、アクセス制限を一時的に強化する
• クラウドプロバイダ（Cloudflare、AWS、Fastly、Google Cloudなど）の緩和策を有効化する

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

深刻度「最大」の脆弱性が示す影響範囲の広さ

今回報告されたCVE-2025-55182は、CVSSスコア10.0と評価されており、最も深刻なカテゴリに該当します。特徴的なのは、特別な設定や複雑な環境がなくても成立する点です。React Server Componentsが有効な環境では、Server Function endpointに送られるデータ構造をReactが復号する際の処理に欠陥があり、意図しないコードがそのまま実行されてしまう可能性が指摘されています。 また、アプリケーションがServer Functionを明示的に提供していなくても、RSCが有効である限り影響を受ける可能性があると報告されています。クラウド環境の約4割に影響インスタンスが確認されたとの調査もあり、影響範囲の広さが懸念されています。このように、標準構成のまま公開しているアプリケーションほど警戒が必要であり、直ちにバージョン確認を進めることが重要です。

脆弱性の技術的背景とNext.jsへの影響

脆弱性の根本には、React Flightプロトコルで利用される応答データのデシリアライズ処理の安全性が不十分だった点があります。研究者らは、react-server-dom-webpackパッケージ内のrequireModule関数が、クライアントから送信された構造化データをそのまま解釈してしまう挙動を指摘しています。攻撃者はこれを利用し、細工したHTTP POSTリクエストをServer Function endpointへ送信することで、Node.jsプロセス権限で任意コードが実行される可能性があります。 さらにNext.jsの場合、Reactが内部的に使用するFlight payloadをNext.jsが外部から受け取る仕組みを提供しており、これが「攻撃者に到達可能な実際の入口」として悪用される危険性があります。結果として、ブラウザから直接送信された悪意あるFlight streamがReact側の脆弱な処理に流れ込み、認証なしのRCEが成立する可能性が高まると分析されています。

日本企業が直ちに確認すべきリスクと対応

国内でReactやNext.jsはSaaS、企業サイト、社内ポータルなど幅広い用途で利用されています。特にApp Routerを使用したNext.js構成は影響を受けやすく、クラウド環境上でも広く利用されていることから、影響を受ける可能性のあるシステムが多いと考えられます。まずは自社アプリケーションがRSCを利用しているか、影響バージョンのパッケージを含んでいないかを確認することが重要です。 パッチ適用が難しい場合でも、WAFによる防御や、Server Function endpointへのネットワーク制限といった暫定対策が推奨されています。またCloudflare、AWS、Fastly、Google Cloudなどが既に緩和策を提供していると報告されており、クラウドプロバイダ側の保護機能を有効化することで一定のリスク低減が可能です。脆弱性が広範囲に影響するため、運用中アプリケーションの棚卸しとパッチ適用計画を速やかに進めることが推奨されます。

参考文献・記事一覧

• The Hacker News

投稿者プロフィール

CyberCrew

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

最新の投稿

• 2025.12.11React／Next.jsに最大深刻度の脆弱性、幅広いクラウド環境が影響下に
• 2025.12.10産業用OpenPLC ScadaBRに2つの既知悪用脆弱性、CVE-2021-26829とCVE-2021-26828がCISA KEV入り
• 2025.12.09430万インストールの拡張機能が監視ツール化　ShadyPanda攻撃とユーザーが取るべき対策
• 2025.12.08Albirioxマルウェア、400以上の金融アプリを狙う高度な不正操作型MaaS