TokyoBlackHatNews

securityweek.com 5分で読了

React2Shell:重大なReact脆弱性に対する実際の悪用が予想される

リモートの認証されていない攻撃者によるリモートコード実行が可能となる重大なReact脆弱性の公開を受け、サイバーセキュリティ業界は警戒を強めています。

React(React.js)は、アプリケーションのユーザーインターフェースを作成するために設計されたオープンソースのJavaScriptライブラリです。Metaおよび世界中の多くの企業や個人開発者のコミュニティによって管理されており、Reactは広く利用されています。数百万のウェブサイトで動作し、Airbnb、Instagram、Netflixなどの人気オンラインサービスでも使用されています。また、コアのNPMパッケージは現在、週に5,500万回ダウンロードされています。

水曜日に公開されたアドバイザリで、React開発者は、CVE-2025-55182のパッチが利用可能であることをユーザーに通知しました。この脆弱性は認証されていないリモートコード実行の脆弱性であり、CVSSスコア10が割り当てられています。

このセキュリティホールはバージョン19.0、19.1.0、19.1.1、19.2.0に影響し、バージョン19.0.1、19.1.2、19.2.1のリリースで修正されています。

サイバーセキュリティコミュニティによってReact2Shellと名付けられたこの問題は、11月29日にLachlan DavidsonによってReact開発者に報告されました。

この脆弱性は「ReactがReact Server Functionエンドポイントに送信されたペイロードをどのようにデコードするか」に関連しており、開発者は、アプリケーションがReact Server Functionエンドポイントを実装していなくても、React Server Components(RSC)がサポートされていれば依然として脆弱である可能性があると伝えられています。

執筆時点では、実際の悪用の報告はないようです。しかし、公開から24時間も経たないうちに、少なくとも1つの概念実証(PoC)エクスプロイトが開発され、この脆弱性がスキャナーに追加されています。

Reactを基盤としたウェブ開発フレームワークであるNext.jsもCVE-2025-55182の影響を受けることは注目に値します。Next.jsの開発元であるVercelは独自のCVE識別子CVE-2025-66478を割り当てようとしましたが、CVE-2025-55182の重複として却下されました。

クラウドセキュリティ企業Wizによると、React Router RSC、Vite RSCプラグイン、Parcel RSCプラグイン、RedwoodSDK、Wakuなどのフレームワークも脆弱である可能性があります。

Wizは、この脆弱性がデフォルト構成に影響し、特別に細工されたHTTPリクエストを使用することで簡単かつ確実に悪用できると述べています。

同社によると、自社のデータに基づき、クラウド環境の39%に脆弱なReactインスタンスが含まれていると報告しています。

サイバーセキュリティ業界の多くのメンバーは、React2Shellの実際の悪用が差し迫っていると考えているようです。

Palo Alto NetworksのUnit 42で脅威インテリジェンスリサーチのシニアマネージャーを務めるJustin Moore氏は、この脆弱性を「システムをクラッシュさせるのではなく、受信データ構造への信頼を悪用することで成功するマスターキー型のエクスプロイト」と表現しました。

「システムは、正規のコードと同じ信頼性で悪意あるペイロードを実行します。なぜなら、意図した通りに動作するものの、悪意ある入力に対しても同様に動作するからです」とMoore氏はメール声明で述べています。

「Unit 42がReactやNext.jsなどの一般的な最新フレームワークを実行するサーバーを96万8,000台以上特定しており、クラウド環境の約40%が露出していることを考えると、この脆弱性の安定性から、攻撃者がこれを利用するかどうかではなく、いつ広範囲に悪用されるかが問題となっています」と同氏は付け加えました。

一方で、著名なセキュリティ研究者であるKevin Beaumont氏は、水曜日に「過度な盛り上がりを抑える」ことを試み、この脆弱性はより新しいバージョン19に限定されており、React Serverを使用するアプリケーションのみに影響すると指摘しました。React Serverは新しい機能であると彼は説明しています。

企業のReact2Shellへの対応

Google Cloudは、CVE-2025-55182の悪用試行を検出・ブロックするためのWebアプリケーションファイアウォール(WAF)ルールを展開しました。

AWSも攻撃をブロックする新しいWAFルールをリリースしており、マネージドサービスを利用している顧客には影響がなく、対応は不要であると通知しています。

Cloudflareも、ReactアプリケーショントラフィックがCloudflare WAFを経由している限り、すべての顧客を自動的に保護するネットワーク全体の保護策を導入しています。

ウェブ開発企業のNetlifyは、顧客のウェブサイトへの悪用を防ぐためにReactのパッチを展開しました。

F5は自社製品への影響を調査中ですが、執筆時点では影響を受ける製品は特定されていません。

脆弱なインスタンスの検出や潜在的な悪用からの保護を支援するセキュリティ企業には、AkamaiOrca SecurityTenableAikidoMiggoなどがあります。

翻訳元: https://www.securityweek.com/react2shell-in-the-wild-exploitation-expected-for-critical-react-vulnerability/

ソース: securityweek.com
#2025年サイバーセキュリティ #5G脆弱性 #AzureActiveDirectory #CVE-2025-55182 #Next.js #React2Shell #Webアプリケーションセキュリティ #アップデートとパッチ #クラウド環境 #リモートコード実行

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯