セキュリティ研究者やコード開発者は、インターネット上で広く使用され、多くの重要なソフトウェアフレームワークに組み込まれているオープンソースライブラリであるReact Server Componentsに影響を与える脆弱性の修正と調査に奔走しています。
迅速な対応は、悪用された場合の潜在的な影響の大きさを浮き彫りにしています。現時点で攻撃が観測または報告された例はありませんが、研究者らは近いうちに攻撃が発生すると予想しており、欠陥への対応に緊急でリソースを動員しています。
この脆弱性 – CVE-2025-55182 – は、Carapaceの開発者でありセキュリティイノベーションのリーダーであるLachlan Davidsonによって発見され、土曜日にMetaへ報告されました。MetaとReactチームはパッチを作成し、影響を受けたホスティングプロバイダーと協力して月曜日に欠陥へ対応し、水曜日の一般公開前に対策を講じました。
「この脆弱性に対して慎重な対応が取られている理由は、悪用が避けられないからです」とwatchTowrのCEO兼創設者Ben HarrisはCyberScoopに語りました。「攻撃者がこの脆弱性を本当に間もなく悪用し始めると考えるべきです。」
Reactは最も広く使用されているアプリケーションフレームワークの一つであり、多くのWebアプリケーションを危険にさらしています。「当社のデータによると、これらのライブラリは約39%のクラウド環境で脆弱なバージョンが見つかっています」とWizの脅威ベクトルインテルリード、Amitai Cohenは述べています。
研究者らは、デシリアライズの欠陥の悪用は非常に簡単で、認証されていない攻撃者がデフォルト設定でリモートコード実行を達成できると警告しています。これにより権限昇格やネットワーク内の他の部分へのピボットが可能になります。「そのシステムに保存されているリソースにアクセスキーやその他の秘密情報、機密情報が含まれていれば、影響は壊滅的なものになり得ます」とRapid7のシニアプリンシパルリサーチャー、Stephen Fewerは述べています。
一般公開前、Reactを最初に作成・管理していたMetaのセキュリティ研究者たちは、10月にオープンソースライブラリをReact Foundationへ移管する前から、影響を受ける組織に欠陥を通知し、Webアプリケーションファイアウォールルールなどの一時的な緩和策を共有していました。
「現在も積極的に調査しており、この脆弱性が悪用された証拠はありませんが、すべての開発者にこの問題を周知し、迅速に適切な対策を講じてもらいたいと考えています」とMetaの広報担当者は声明で述べました。
この脆弱性は、Next.js、React Router、Waku、Parcel RSCプラグイン、Vite RSCプラグイン、RedwoodJSなど、複数のReactフレームワークやバンドラーに影響を及ぼし、まだ特定されていない他のものにも影響がある可能性があると研究者は述べています。Next.jsの開発元であるVercelは、React Server Componentsへの依存により、独自の最大深刻度の脆弱性 — CVE-2025-66478 — を公開し、パッチを提供しました。
Wiz、Rapid7、watchTowrおよび他のセキュリティ企業の研究者は、React Server Componentsに依存する他のフレームワークやライブラリからも今後影響が広がる可能性が高く、メンテナンスが行き届かない、または更新が困難な環境では長期的な影響が残るだろうと警告しています。
なぜVercelがNext.jsに対して別のCVEを割り当てたのかは不明ですが、Reactの上流の欠陥であるCVE-2025-55182が根本原因であるため、ベンダーは自社製品への影響を追跡している可能性があるとFewerは述べています。「根本原因が元のCVE-2025-55182と同じである限り、Reactに依存する各フレームワークごとに新たなCVEを割り当てる必要はないはずです」と彼は付け加えました。
VulnCheckのシニアリサーチャーであるCale Blackは、上流依存の脆弱性はプロジェクトごとに対応される傾向があると述べています。「より成熟したセキュリティプロセスを持つプロジェクトは独自の対策ガイダンスを出し、場合によっては独自のCVEを発行することもあります」と彼は述べました。
一方で、脅威ハンターたちは積極的な悪用に備え、技術的な詳細やエクスプロイトコードが間もなく公開されると予想しています。
「インターネット全体があらゆる場所で使われているソリューションの脆弱性を理解しようとしている中で、誰かが必ず解明するでしょう」とHarrisは述べました。「明日の朝、目覚めたときには、この脆弱性を再現する方法が少なくとも一つ、もしかするとそれ以上見つかっていることに疑いはありません。」
翻訳元: https://cyberscoop.com/react-server-vulnerability-critical-severity-security-update/
