TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

React.js、最高深刻度の「React2Shell」脆弱性の影響を受ける

React.js において、重大なリモートコード実行(RCE)脆弱性が確認されました。

React.js は、再利用可能なコンポーネントを用いて、高速でインタラクティブなユーザーインターフェース(UI)を構築するための JavaScript ライブラリです。

セキュリティ研究者の Lachlan Davidson 氏は、この脆弱性を 2025 年 11 月 29 日に Meta チームへ開示しました。

公式には CVE-2025-55182 として追跡されているこの欠陥は、2021 年に発見された Log4Shell 脆弱性 をほのめかす「React2Shell」と名付けられています。これはサーバーサイドでの React.js の利用に影響し、深刻度評価(CVSS)は最大値である 10.0 が付与されています。

別途、Next.js チームは セキュリティアドバイザリを公開 し、独自の CVE である CVE-2025-66478 を 12 月 3 日に報告しました。しかし、米国国家脆弱性データベース(NVD)は、この CVE を CVE-2025-55182 の重複として却下しました。

React と Next.js は、多くのモダンな Web アプリケーションで利用されている JavaScript フレームワークであり、その広範な普及は懸念材料となっています。

React2Shell の悪用に成功すると、攻撃者は任意のコードを実行し、被害サーバーを制御できる可能性があります。これにより、機密データの大規模な侵害につながるおそれがあります。 

「React と Next.js が広く使われていることに加え、悪用の容易さを踏まえると、これらのバグは重大です。認証なしで悪用でき、攻撃は非常に単純です」と、Tenable のクラウドセキュリティリサーチディレクターである Ari Eitan 氏はコメントしています。

「単一の悪意ある HTTP リクエストでサーバーサイドのリモートコード実行を引き起こすことができるため、この問題は極めて有害です」と Eitan 氏は付け加えました。

まれな構成に影響する多くのサプライチェーン脅威とは異なり、今回の脆弱性はフレームワーク自体のコアなデシリアライズ処理ロジックを悪用するものであり、多くのケースで悪用可能です。

ソフトウェアサプライチェーンセキュリティ企業 JFrog の研究者によると、デフォルト構成における悪用成功率はほぼ 100% と報告されています。

React Server Function エンドポイントを使用している React サーバーは、脆弱であることが判明しています。

Next.js の Web アプリケーションも、デフォルト構成のままでは脆弱です。

React2Shell の悪用は高い確度で発生する見込み

執筆時点では、実際の悪用が発生しているかは不明ですが、2026 年 12 月 5 日時点で、悪用活動が観測されたとの報告がいくつかあります。

脆弱性が公に開示されたことで、この状況は今後変化していく可能性が高いとみられます。

また 12 月 5 日の午前 10 時(GMT)頃、OX Security は、この欠陥がすでに積極的に悪用可能な状態にあると警告しました。

サイバーセキュリティ企業が LinkedIn 投稿で 次のように述べました。「ハッカーの maple3142 が動作する PoC を公開し、当社チームがその有効性を検証しました。これはもはや理論上の話ではありません。脆弱な React および Next.js サーバーに対して、認証不要のリモートコード実行が可能になります。」

JFrog は、GitHub 上で偽の PoC(概念実証コード)を確認したと述べています。

この種のプロジェクトには、悪意あるコードが含まれていることが知られています。セキュリティチームはテスト前にソースを検証しなければならないと、JFrog は警告しています。

直ちに講じるべき緩和策の推奨事項

CVE-2025-55182 および CVE-2025-66478 を解消するために、セキュリティチームは、脆弱なパッケージを、一覧に挙げられている修正版パッケージへアップグレードすることが強く求められています。

この脆弱性は、以下のバージョン 19.0、19.1.0、19.1.1、および 19.2.0 に存在します。

React によると、修正はバージョン 19.0.119.1.2、および 19.2.1 で導入されています。上記のいずれかのパッケージを使用している場合は、直ちにこれらの修正版のいずれかへアップグレードする必要があります。

Next.js アプリについて、App Router 機能があまり使われていない場合は、Next.js App Router 移行ガイド に従って、Web アプリケーションを Pages Router へ戻すことも可能です。

翻訳元: https://www.infosecurity-magazine.com/news/reactjs-hit-by-react2shell/

ソース: infosecurity-magazine.com
#CVE-2025-55182 #JavaScriptフレームワーク #Next.js脆弱性 #PoC公開と悪用リスク #React.jsセキュリティ #React2Shell脆弱性 #サーバーサイドReact #セキュリティアップデートとパッチ #ソフトウェアサプライチェーンリスク #リモートコード実行(RCE)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新