Thank You For Reaching Out To Us
We have received your message and will get back to you within 24-48 hours. Have a great day!

React Server Components における重大な脆弱性(CVE-2025-55182)

Tech Insight
React
Web Application Developement
10分で​​読む

2025年12月3日、React チームは React Server Components(RSC)における重大なリモートコード実行(Remote Code Execution / RCE)脆弱性 を公表しました。
この脆弱性は複数のRSC パッケージおよび Next.js を含む広く使用されている React フレームワークに影響します。すでに修正版は公開されているため、最も重要な対策は 自社プロジェクトが該当パッケージを使用しているか確認し、該当する場合は速やかにアップデートすること です。

脆弱性の概要

今回報告された脆弱性により、React Server Components を使用するサーバー上で、未認証のままリモートから任意コードを実行される可能性 があります。

  • タイプ: 未認証リモートコード実行 (Unauthenticated RCE)

  • CVE: CVE-2025-55182 (NIST, GitHub Advisory Database)

  • 深刻度: CVSS 10.0(最高レベル)

攻撃者は認証なしで任意のコードを実行でき、サーバー環境を完全に制御される恐れがあります。

原因は、React が Server Function エンドポイントに送信されたペイロードをデコードする際の処理に存在する欠陥です。細工された HTTP リクエストによって安全でないデシリアライズが発生し、RCE に繋がります。React チームはパッチの展開が完了次第、詳細情報を公開予定です。

影響範囲

React Server Components をサポートするアプリケーションは、Server Function を定義していなくても影響を受ける可能性があります。
これは、複数のフレームワークやバンドラが共通して利用している RSC の基盤部分に脆弱性が存在するためです。

以下の場合は影響を受けません:

  • React コードがサーバー上で動作していない場合

  • React Server Components をサポートするフレームワーク/バンドラ/プラグインを使用していない場合

通常の クライアントサイドのみの React アプリケーションは影響を受けません。

影響を受けるバージョンとコンポーネント

脆弱性は特定の RSC パッケージのバージョンおよびそれらに依存するフレームワークに紐づいています。

▼ 影響を受けるパッケージ

以下のパッケージ(v19.0、19.1.0、19.1.1、19.2.0)が対象です

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

▼ 影響を受けるフレームワーク/バンドラ

これらのパッケージに依存するフレームワークも影響を受けます:

  • Next.js

  • React Router(unstable RSC API 利用時)

  • Waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • Redwood SDK

■ セキュリティ修正および推奨対応

React チームは修正版を公開済みで、主要フレームワークもそれに合わせて更新を提供しています。
脆弱性を解消する唯一の確実な手段は、修正版へのアップデートです。

▼ 修正版(React)

  • 19.0.1

  • 19.1.2

  • 19.2.1
    (またはそれ以降のバージョン)

▼ 修正版(Next.js の例)

  • next@15.0.5

  • next@15.1.9

  • next@15.2.6

  • next@15.3.6

  • next@15.4.8

  • next@15.5.7

  • next@16.0.7

その他のエコシステム(React Router、Redwood、Vite Plugin、Parcel、Waku など)も最新の修正版への更新が必要です。

開発チームが今すぐ行うべきこと

  1. 本番環境で React Server Components または関連フレームワークを使用しているか確認する

  2. 上記パッケージのバージョンを点検する

  3. 該当する場合はただちに修正版へアップグレードする
    4.(任意)デプロイ済み環境に不審な挙動がないか確認する

  4. 対応状況を社内セキュリティ担当者・プロジェクト関係者へ報告する

■ まとめ

今回の脆弱性 CVE-2025-55182 は、React エコシステムの中でも極めて深刻な問題であり、多くのモダンな React ベースのアプリケーションに影響を与える可能性があります。

システムの安全性を確保し、悪用を防ぐため、下記の活動を行う必要です。

  • 自社アプリケーションの調査

  • 影響を受けるコンポーネントの特定

  • 早急なアップデート

React ベースのプロジェクトにおけるセキュリティ監査やパッチ対応が必要な場合、ハポソフトがご支援いたします。

 

シェア
コピーしました
cta-background

ニュースレター登録

デジタルトランスフォーメーションに​関する​専門的な​知見や​イベント最新情報を、​メールボックスに​直接お届けします。
ビジョンを​カタチにし、​常に​ベストパートナーで​あり続けます。
認定・資格
ISO 27001認証ISO 9001認証ISTQB認定PMP認定
サービス
AI駆動ソフトウェア開発サービス
AI概念実証​(PoC)​サービス
Webアプリ開発
モバイルアプリ開発
業務システム開発
DX推進支援
AWS・GCP構築支援
SaaS開発サービス
株式会社ハポソフト
+84-85-645-9898
ベトナム ハノイ市 Dai Mo区 To Huu通 NHS Complex Office Building 6階
株式会社ハポソフトジャパン
東京都渋谷区恵比寿3丁目3番8号ラピツカキヌマ4階
© Haposoft 2025. All rights reserved