重大なReactの脆弱性、即時対応を求める声

出典：Koshiro K / Alamy ストックフォト

広く利用されているオープンソースソフトウェアライブラリであるReactに最大深刻度の脆弱性が発見され、膨大な数のクラウド環境でリモートコード実行（RCE）が可能になる恐れがあり、サイバーセキュリティ業界に深刻な懸念が広がっています。

Reactオープンソースプロジェクトは水曜日、この脆弱性を公開し、2つのCVEが割り当てられました。1つ目はReact Server Components（RCS）プロトコルにおけるCVE-2025-55182で、RCE攻撃が安全でないデシリアライズにより可能となります。2つ目のCVE-2025-66478は、Next.jsフレームワークへの波及的影響をカバーしています。

両CVEは最大CVSSスコア10を受けており、悪用された場合は同じ結果を招きます。攻撃者は脆弱なサーバーに対して悪意のあるリクエストを作成し、デシリアライズの問題によりRCEが可能となります。

水曜日に公開されたブログ記事で、Wizの研究者はこれら2つのCVEの「悪用の容易さ」に言及し、組織に対して即時対応を強く促しました。

「私たちの検証では、この脆弱性の悪用は非常に確実で、ほぼ100%の成功率で完全なリモートコード実行が可能でした」とブログ記事は述べています。「攻撃ベクトルは認証不要かつリモートであり、ターゲットサーバーへの特別に細工されたHTTPリクエストのみが必要です。これは人気フレームワークのデフォルト設定に影響します。」

広範囲に及ぶ可能性のある影響

ReactはFacebook（現Meta）で開発され、2013年にオープンソースプロジェクトとして公開されたユーザーインターフェース用のJavaScriptライブラリです。過去10年以上にわたり、Walmartなど多くの企業で利用されています。

この脆弱性はセキュリティ研究者のLachlan Davidsonによって発見され、Metaのバグ報奨金プログラムを通じて報告されました。Davidsonの脆弱性報告を受け、MetaのスタッフはReactチームと連携し、今週初めに修正を作成・検証しました。

Wizは、自社の調査データによるとクラウド環境の39%がいずれかのCVEに対して脆弱であることを示していると指摘しています。このクラウドセキュリティベンダーは、組織が自社環境内の脆弱なReactインスタンスを検出するための事前構築済み検出クエリを公開しました。

Cloudflareはさらに一歩進み、顧客向けに新しいWebアプリケーションファイアウォール（WAF）ルールを実装し、Cloudflareを経由するすべてのReactアプリケーショントラフィックに対してCVEの悪用を自動的に防止しています。CloudflareのプロジェクトマネジメントディレクターであるDaniele Molteniは、ブログ記事で、WAFルールが一般公開前の火曜日に実装されたことを述べています。

「私たちのWAFがこのエクスプロイトの検出・防止を目的として設計されているとはいえ、顧客は直ちにReactを最新バージョンにアップデートすることを強く推奨します」とMolteni氏は書いています。

クラウド環境にReactフレームワークが広く存在するため、メンテナーは脆弱性の影響を受けるプロバイダーや他のオープンソースプロジェクトに連絡し、防御策の協力を行いました。

「私たちは複数のホスティングプロバイダーと連携し、一時的な緩和策を適用しました」とReactチームはCVE-2025-55182に関するアドバイザリで述べています。「これらの対策に頼らず、必ず直ちにアップデートしてください。」

組織はReactのバージョン19.0.1、19.1.2、19.2.1、およびNext.jsのバージョン15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7にアップグレードする必要があります。

「アプリのReactコードがサーバーを使用していない場合、この脆弱性の影響は受けません」とアドバイザリは述べています。「また、React Server Componentsをサポートするフレームワーク、バンドラー、またはバンドラープラグインを使用していない場合も影響はありません。」