JavaScriptフレームワークのReactおよびNext.jsに、未認証で遠隔から任意コードが実行される重大な脆弱性が報告されています。問題はReact Server Componentsの処理に起因し、攻撃者が細工したHTTPリクエストを送信するだけで悪用できるとされています。この脆弱性は CVE-2025-55182 として追跡されており、CVSSスコアは最高の10.0です。この脆弱性を利用した攻撃手法はReact2shellというコードネームで呼ばれています。既に複数のセキュリティ企業が注意喚起を行っており、広範囲のクラウド環境への影響も指摘されています。
The Hacker News:Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution
(2025年12月19日更新)
この脆弱性の影響は非常に大きく、すでに攻撃が発生していることを確認しております。企業のセキュリティ担当者やシステム管理者、開発者はすみやかに対応するようにしてください。
攻撃手法『React2Shell』として知られ、GitHub等でPoC(概念実証コード)の公開が進んでいるため、攻撃の発生リスクが急速に高まっています。
この脆弱性を悪用した攻撃が国内で発生していることをIPAが警告しています。2025年12月10日、2025年12月12日にそれぞれ更新されており、新たな情報が発表されています。
以下、引用
— 2025年 12 月 10 日更新 —
本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。
今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。— 2025年 12 月 12 日更新 —
新たに、サービス拒否の脆弱性(CVE-2025-55184、CVE-2025-67779)およびソースコード漏洩の脆弱性(CVE-2025-55183)が発見されたとのことです。
本情報発信の対象である、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)の対応に合わせ、これらの脆弱性にも対処することをご検討ください。
詳細については、開発者のページ(Denial of Service and Source Code Exposure in React Server Components)をご確認ください。
この記事のポイント
影響のあるシステム
- React Server Components(RSC)を利用するアプリケーション全般
- Next.js(App Router使用環境)。影響バージョン:(CVE-2025-66478として報告されたもの:) >=14.3.0-canary.77、>=15、>=16
- react-server-dom-webpack / parcel / turbopack(影響バージョン:19.0、19.1.0、19.1.1、19.2.0)
- その他RSCを同梱する可能性があるライブラリ(Vite RSC plugin、RedwoodJS、Wakuなど)
推奨される対策
- ReactおよびNext.jsの修正版(React:19.0.1、19.1.2、19.2.1/Next.js:16.0.7、15.5.7、15.4.8、15.3.6、15.2.6、15.1.9、15.0.5)へ速やかに更新する
- パッチ適用前はWAFでServer Function endpointへの不審なリクエストをフィルタ
- 異常なHTTP POSTやFlight payloadの挙動を監視し、アクセス制限を一時的に強化する
- クラウドプロバイダ(Cloudflare、AWS、Fastly、Google Cloudなど)の緩和策を有効化する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- React2Shell:RSCのデータ復元処理を悪用し、認証なしにサーバー上で任意のコマンドを実行する攻撃手法。
- React Server Components (RSC):Reactでサーバー側処理を行う機能。サーバー関数やFlightプロトコルが利用される。
- CVE-2025-55182:Reactの不正なオブジェクトの復元を許容してしまう脆弱性。CVSS 10.0の最大深刻度を記録。
- 任意コード実行(RCE):攻撃者がサーバー上で自由にコードを実行できる深刻な攻撃。
深刻度「最大」の脆弱性が示す影響範囲の広さ
今回報告されたCVE-2025-55182は、CVSSスコア10.0と評価されており、最も深刻なカテゴリに該当します。特徴的なのは、特別な設定や複雑な環境がなくても成立する点です。React Server Componentsが有効な環境では、Server Function endpointに送られるデータ構造をReactが復号する際の処理に欠陥があり、意図しないコードがそのまま実行されてしまう可能性が指摘されています。 また、アプリケーションがServer Functionを明示的に提供していなくても、RSCが有効である限り影響を受ける可能性があると報告されています。クラウド環境の約4割に影響インスタンスが確認されたとの調査もあり、影響範囲の広さが懸念されています。このように、標準構成のまま公開しているアプリケーションほど警戒が必要であり、直ちにバージョン確認を進めることが重要です。
脆弱性の技術的背景とNext.jsへの影響
脆弱性の根本には、React Flightプロトコルで利用される応答データのデシリアライズ処理の安全性が不十分だった点があります。研究者らは、react-server-dom-webpackパッケージ内のrequireModule関数が、クライアントから送信された構造化データをそのまま解釈してしまう挙動を指摘しています。攻撃者はこれを利用し、細工したHTTP POSTリクエストをServer Function endpointへ送信することで、Node.jsプロセス権限で任意コードが実行される可能性があります。 さらにNext.jsの場合、Reactが内部的に使用するFlight payloadをNext.jsが外部から受け取る仕組みを提供しており、これが「攻撃者に到達可能な実際の入口」として悪用される危険性があります。結果として、ブラウザから直接送信された悪意あるFlight streamがReact側の脆弱な処理に流れ込み、認証なしのRCEが成立する可能性が高まると分析されています。
具体的には、攻撃者が細工したFlight payloadを送信することで、サーバー側の内部関数(requireModule等)を不正に呼び出します。このReact2Shell攻撃が成立すると、アプリケーションの権限でOSコマンドが実行され、機密情報の窃取やバックドアの設置を許すことになります。
日本企業が直ちに確認すべきリスクと対応
国内でReactやNext.jsはSaaS、企業サイト、社内ポータルなど幅広い用途で利用されています。特にApp Routerを使用したNext.js構成は影響を受けやすく、クラウド環境上でも広く利用されていることから、影響を受ける可能性のあるシステムが多いと考えられます。まずは自社アプリケーションがRSCを利用しているか、影響バージョンのパッケージを含んでいないかを確認することが重要です。 パッチ適用が難しい場合でも、WAFによる防御や、Server Function endpointへのネットワーク制限といった暫定対策が推奨されています。またCloudflare、AWS、Fastly、Google Cloudなどが既に緩和策を提供していると報告されており、クラウドプロバイダ側の保護機能を有効化することで一定のリスク低減が可能です。脆弱性が広範囲に影響するため、運用中アプリケーションの棚卸しとパッチ適用計画を速やかに進めることが推奨されます。
参考文献・記事一覧
投稿者プロフィール
