ハポソフトの​​ブログへようこそ

2025年12月3日、​React チームは​ React Server Components​（RSC）に​おける​重大な​リモートコード実行​（Remote Code Execution / RCE）​脆弱性 を​公表しました。​ この​脆弱性は​複数の​RSC パッケージおよび​ Next.js を​含む​広く​使用されている​ React フレームワークに​影響します。​すでに​修正版は​公開されている​ため、​最も​重要な​対策は​ 自社プロジェクトが​該当パッケージを​使用しているか​確認し、​該当する​場合は​速やかに​アップデートする​こと です。​ 脆弱性の​概要 今回報告された​脆弱性に​より、​React Server Components を​使用する​サーバー上で、​未認証のまま​リモートから​任意コードを​実行される​可能性 が​あります。​ タイプ: 未認証リモートコード実行 (Unauthenticated RCE) CVE: CVE-2025-55182 (NIST, GitHub Advisory Database) 深刻度: CVSS 10.0​（最高レベル）​ 攻撃者は​認証なしで​任意の​コードを​実行でき、​サーバー環境を​完全に​制御される​恐れが​あります。​ 原因は、​React が​ Server Function エンドポイントに​送信された​ペイロードを​デコードする​際の​処理に​存在する​欠陥です。​細工された​ HTTP リクエストに​よって​安全で​ない​デシリアライズが​発生し、​RCE に​繋がります。​React チームは​パッチの​展開が​完了次第、​詳細情報を​公開予定です。​ 影響範囲 React Server Components を​サポートする​アプリケーションは、​Server Function を​定義していなくても​影響を​受ける​可能性が​あります。​ これは、​複数の​フレームワークや​バンドラが​共通して​利用している​ RSC の​基盤部分に​脆弱性が​存在する​ためです。​ 以下の​場合は​影響を​受けません： React コードが​サーバー上で​動作していない​場合 React Server Components を​サポートする​フレームワーク／バンドラ／プラグインを​使用していない​場合 通常の​ クライアントサイドのみの​ React アプリケーションは​影響を​受けません。​ 影響を​受ける​バージョンと​コンポーネント ​脆弱性は​特定の​ RSC パッケージの​バージョンおよび​それらに​依存する​フレームワークに​紐づいています。​ ▼ 影響を​受ける​パッケージ 以下の​パッケージ​（v19.0、​19.1.0、​19.1.1、​19.2.0）が​対象です： react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack ▼ 影響を​受ける​フレームワーク／バンドラ これらの​パッケージに​依存する​フレームワークも​影響を​受けます： Next.js React Router​（unstable RSC API 利用​時）​ Waku @parcel/rsc @vitejs/plugin-rsc Redwood SDK ■ セキュリティ修正および​推奨対応 React チームは​修正版を​公開済みで、​主要フレームワークも​それに​合わせて​更新を​提供しています。​ 脆弱性を​解消する​唯一の​確実な​手段は、​修正版への​アップデートです。​ ▼ 修正版​（React）​ 19.0.1 19.1.2 19.2.1 ​（または​それ以降の​バージョン）​ ▼ 修正版​（Next.js の​例）​ next@15.0.5 next@15.1.9 next@15.2.6 next@15.3.6 next@15.4.8 next@15.5.7 next@16.0.7 ​その​他の​エコシステム​（React Router、​Redwood、​Vite Plugin、​Parcel、​Waku など）も​最新の​修正版への​更新が​必要です。​ 開発チームが​今すぐ​行うべきこと​ 本番環境で​ React Server Components または​関連フレームワークを​使用しているか​確認する​ 上記パッケージの​バージョンを​点検する​ 該当する​場合は​ただちに​修正版へ​アップグレードする​ 4.​（任意）​デプロイ済み環境に​不審な​挙動が​ないか​確認する​ 対応状況を​社内セキュリティ担当者・プロジェクト関係者へ​報告する​ ■ まとめ 今回の​脆弱性 CVE-2025-55182 は、​React エコシステムの​中でも​極めて​深刻な​問題で​あり、​多くの​モダンな​ React ベースの​アプリケーションに​影響を​与える​可能性が​あります。​ システムの​安全性を​確保し、​悪用を​防ぐ​ため、​下記の​活動を​行う​必要です。​ 自社アプリケーションの​調査 影響を​受ける​コンポーネントの​特定 早急な​アップデート React ベースの​プロジェクトに​おける​セキュリティ監査や​パッチ対応が​必要な​場合、​ハポソフトが​ご支援いたします。