- 重大な React の欠陥(CVE-2025-55182)により、React Server Components で認証前 RCE が可能に
- バージョン 19.0~19.2.0 および Next、React Router、Vite などのフレームワークに影響、19.0.1、19.1.2、19.2.1 でパッチ提供済み
- 専門家は「ほぼ 100% の成功率」での悪用が差し迫っていると警告、早急なアップグレードが強く推奨される
React は、現在のインターネットの多くを支えている、最も人気のあるJavaScript ライブラリの一つです。研究者は最近、重大度が最大の脆弱性を発見しました。このバグにより、スキルの低い脅威アクターであっても、脆弱なインスタンス上で悪意あるコード(RCE)を実行できてしまう可能性があります。
今週初め、React チームは複数バージョン・複数パッケージに存在する、React Server Components に影響する認証前バグの新たなセキュリティ勧告を公開しました。影響を受けるバージョンは、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack の 19.0、19.1.0、19.1.1、19.2.0 です。
このバグは現在 CVE-2025-55182 として追跡されており、重大度スコアは 10/10(クリティカル)と評価されています。
悪用は目前 ― 疑う余地なし
複数の React フレームワークやバンドラのデフォルト設定もこのバグの影響を受けるとされており、next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc、rwsdk などが含まれます。
このバグに対処したバージョンは 19.0.1、19.1.2、19.2.1 であり、React はすべてのユーザーに対し、できるだけ早く修正を適用するよう強く促しています。「直ちにアップグレードすることを推奨します」と React チームは述べています。
The Register によると、React はクラウド環境全体のほぼ 5 分の 2 を支えており、控えめに言っても攻撃対象領域は広大です。Facebook、Instagram、Netflix、Airbnb、Shopify など、今日のウェブを代表する大手企業はもちろん、他の何百万もの開発者も React に依存しています。
エクスポージャ管理ツールベンダーである watchTowr の創業者兼 CEO、Benjamin Harris 氏は同誌に対し、この欠陥は「間違いなく」実環境で悪用されるだろうと語りました。実際、特に勧告が公開された今となっては、悪用は「差し迫っている」と同氏は考えています。
Wiz はこのバグの検証に成功しており、「この脆弱性の悪用は非常に確実で、成功率はほぼ 100% に達し、完全なリモートコード実行に利用できる」と述べています。
言い換えれば、今は気を抜いている場合ではなく、この欠陥へのパッチ適用は誰にとっても最優先事項であるべきです。
