研究者らは、この欠陥がフルリモートコード実行を容易に達成するために悪用されうると警告している。
セキュリティ研究者らは水曜日、React Server Components(RCS)および Next.js における重大な脆弱性について警告した。
この脆弱性は CVE-2025-55182 として追跡されており、React Server Function エンドポイントに送信されるペイロードの安全でないデシリアライゼーションに起因して、認証不要のリモートコード実行を可能にする。
この欠陥は React オープンソースソフトウェアの RCS プロトコルに由来するものの、Next.js アプリケーションにも波及的な影響を与えており、こちらは CVE-2025-66478 として追跡されている。この問題は極めて危険とみなされており、両方の脆弱性には深刻度スコア 10 が付与されている。
Wiz の研究者らは実験の中で、この欠陥は「高い確度」を持ち、成功率はほぼ 100% であることを確認したと述べている。これはフルリモートコード実行を達成するために悪用されうると、水曜日に公開されたブログで説明している。
セキュリティ研究者らが懸念しているもう一つの点は、設定がデフォルトで脆弱な状態になっていることだ。この欠陥はユーザーによる即時のパッチ適用を必要とする。React と Vercel はそれぞれ、ソフトウェアを更新するためのガイダンスを発表した。
React はもともと Facebook によって開発された Javascript ライブラリで、ユーザーインターフェースの構築に用いられ、世界で最も広く利用されている Web アプリケーションフレームワークの一つである。
「詳細はいまだ限られており、悪用に必要な前提条件も少ないものの、攻撃者がすでに公開されているパッチの解析を開始すれば、実際の環境での悪用が差し迫っていることは疑いようがありません」と、watchTowr の創業者兼 CEO である Benjamin Harris 氏は Cybersecurity Dive に語った。
セキュリティ研究者の Lachlan Davidson 氏 は、Meta Bug Bounty プログラムを通じて 11 月 29 日にこの欠陥を React に報告した。
Wiz の研究者らは、クラウド環境の 40% に脆弱なインスタンスが存在する と指摘しているのは、Next.js または React のいずれかである。
翻訳元: https://www.cybersecuritydive.com/news/critical-vulnerabilities-found-in-react-and-nextjs/807016/
