TokyoBlackHatNews

theregister.com 5分で読了

クラウド環境の39パーセントに最大深刻度のReact脆弱性、「悪用は差し迫っている」

広く利用されているJavaScriptライブラリReactおよび、Next.jsを含む複数のReactベースのフレームワークに存在する最大深刻度の欠陥により、認証されていないリモート攻撃者が、脆弱なインスタンス上で悪意あるコードを実行できてしまう。この欠陥は悪用が容易であり、大規模な悪用が「差し迫っている」とセキュリティ研究者らは警告している。

Reactチームは水曜日、React Server Componentsにおける認証不要のリモートコード実行(RCE)脆弱性を公表した。この脆弱性はCVE-2025-55182として追跡されており、CVSSで最大スコアの10.0という深刻度評価を受けている。

インターネットの多くがReactの上に構築されているため、これは重大な問題だ。ある推計では、クラウド環境の39パーセントがこの欠陥に対して脆弱だとされている。この問題は、あなたのToDoリストの中でも最優先事項として扱うべきだろう。

このバグは、以下のバージョン19.0、19.1.0、19.1.1、19.2.0に影響する。

また、nextreact-routerwaku@parcel/rsc@vitejs/plugin-rscrwsdkといった、複数のReactフレームワークおよびバンドラのデフォルト構成にも影響する。

プロジェクトのメンテナたちは、19.0.119.1.219.2.1へのアップグレードによって、この欠陥が修正されると述べている。

「直ちにアップグレードすることを推奨します」と、Reactチームは水曜日のセキュリティアドバイザリで述べた。

CVE-2025-55182は、世界で最も広く使われているWebアプリケーションフレームワークの1つのユーザーにとって重大なリスクとなります」と、エクスポージャ管理ツールベンダーwatchTowrの創業者兼CEOであるBenjamin Harris氏はThe Registerに語った。「悪用に必要な前提条件はほとんどなく、公開されたパッチを攻撃者が解析し始めれば、実際の環境での悪用が差し迫っていることは疑いようがありません。」

Next.jsの開発元かつ主要メンテナであるVercelは、この欠陥に対して独自のCVE(CVE-2025-66478)を割り当て、水曜日にアラートとパッチを発行した。

この脆弱性の詳細はあまり明らかになっていないものの、ReactがReact Server Functionエンドポイントに送信されるペイロードをデコードする方法に存在する欠陥を悪用することは分かっている。

「認証されていない攻撃者は、任意のServer Functionエンドポイントに対して悪意あるHTTPリクエストを作成でき、そのリクエストがReactによってデシリアライズされると、サーバー上でリモートコード実行を達成してしまいます」と、セキュリティアラートは警告している。「修正のロールアウトが完了した後に、脆弱性のさらなる詳細を提供する予定です。」

研究者のLachlan Davidson氏は土曜日にこの欠陥を発見し、オープンソースプロジェクトの作成元であるMetaに報告した。MetaはReactチームと協力し、わずか4日後に緊急パッチを迅速に展開した。

Reactは非常に広く利用されており、MetaのFacebookやInstagram、Netflix、Airbnb、Shopify、Hello Fresh、Walmart、Asana、そして数百万の開発者が依存している。また、多くのフレームワークが脆弱なReactパッケージに依存している。

そのため、このCVEはインターネットの多くを危険にさらすことになる。

「Wizのデータによると、クラウド環境の39パーセントに、CVE-2025-55182および/またはCVE-2025-66478に対して脆弱なバージョンのNext.jsまたはReactのインスタンスが含まれています」と、クラウドセキュリティ企業のスレットハンターであるGili Tikochinski氏、Merav Bar氏、Danielle Aminov氏は水曜日に述べた

まもなくGoogle傘下となる同社は、この欠陥と修正を検証し、「この脆弱性の悪用は非常に確実性が高く、成功率はほぼ100パーセントであり、完全なリモートコード実行に利用可能である」と報告した。

「深刻度が非常に高く、悪用が容易であることから、即時のパッチ適用が必要です」と3人は付け加えた。

執筆時点では、The Registerは実際の環境での悪用報告を確認できていない。しかし、犯罪者がすでにパッチをリバースエンジニアリングし、インターネット上の露出した脆弱なインスタンスをスキャンしていると考えるのが妥当だ。

「Reactおよび、その上に構築されたNext.jsのようなフレームワークが広く利用されていることから、この脆弱性は大きな注目を集めると予想されます」と、Rapid7のシニアプリンシパルリサーチャーであるStephen Fewer氏はThe Registerに語った。

「技術的な詳細やエクスプロイトコードが公開される可能性は高く、そのため近い将来に悪用が発生する可能性も高い」と同氏は述べた。「したがって、この脆弱性に対して直ちにパッチを適用することが極めて重要です。」

Cloudflareの顧客は、ReactアプリケーションのトラフィックがWAF経由でプロキシされている場合、同社のWebアプリケーションファイアウォール(WAF)がこの欠陥から保護するという主張についても確認しておくとよいだろう。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/

ソース: go.theregister.com
#CVE-2025-55182 #JavaScriptライブラリ #Next.jsセキュリティ #React Server Components 脆弱性 #React脆弱性 #WAFによる防御 #Webアプリケーション脆弱性 #クラウド環境のセキュリティ #リモートコード実行(RCE) #緊急パッチ適用

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張