研究者らは、重要インフラ事業者や政府系サイトが、国家と関係のある攻撃者から標的にされていると警告している。
Reactは木曜日、React2Shell危機のさなかに、顧客が新たなアップグレードを適用する必要があると警告した。研究者らがサービス拒否(DoS)の欠陥やソースコード露出を含む、追加の脆弱性を発見したためだ。
サービス拒否の脆弱性はCVE-2025-55184およびCVE-2025-67779として追跡されており、攻撃者が悪意のあるHTTPリクエストを作成してServer Functionsエンドポイントに送信することで、無限ループを引き起こす可能性がある。この欠陥の深刻度スコアは7.5となっている。
ソースコード露出の脆弱性はCVE-2025-55183として追跡されており、脆弱なServer Functionに送信された悪意のあるHTTPリクエストによって、任意のServer Functionのソースコードが安全でない形で返されてしまう可能性がある。
React2Shellは、研究者Lachlan Davidson氏によって11月に発見され、12月3日に公表された。この脆弱性はCVE-2025-55182として追跡されており、React Server Functionエンドポイントに送信されるペイロードの安全でないデシリアライズにより、認証されていない攻撃者がリモートコード実行を達成できてしまう。この脆弱性は非常に不安定で悪用が容易とみなされており、深刻度スコアは10となっている。
研究者らは、新たに公開された欠陥は、React2Shellで対処されたリスクほど深刻ではないと注意喚起している。
「DoSは依然として敵対者にとって価値があるものの、これら新しい問題の影響は、元のReact2Shellエクスプロイトの影響には及びません」と、VulnCheckのセキュリティリサーチ担当バイスプレジデントであるCaitlin Condon氏はCybersecurity Diveに語った。「情報漏えいであるCVE-2025-55183についても、開発者が脆弱なReact Server Components(RSC)関数を特定の方法で利用している必要があるため、前回の一連の脆弱性と比べて広範な悪用が行われる可能性ははるかに低いでしょう。」
Amazon、Palo Alto Networks、GreyNoiseの研究者らは、国家と関係のあるアクターがReact2Shellを悪用していることを確認した。Palo Alto Networksの研究者らは、少なくとも50の組織が事後の悪用活動による被害を受けたことを確認した。Shadowserverの研究者らは、約16万5,000のIPと64万4,000のドメインで、潜在的に脆弱なコードが見つかったと述べている。
一方で、Cloudflareの研究者らは木曜日、アジアに関連する脅威グループがReact2Shellの脆弱性を利用し、複数の国の重要インフラサイトを標的としていると警告した。初期の標的の多くは台湾、ベトナム、日本、ニュージーランド、新疆ウイグル自治区に向けられていた。さらに、世界各地の重要インフラ事業者、政府機関、学術研究者のサイトに対する悪用も確認されている。
Cloudflareによると、重大な攻撃の一つでは、ウランおよび核燃料の輸出入に関与する国家機関が標的となったという。研究者らは、この攻撃に関する詳細な情報の提供を控えた。
