研究者らは、重要インフラ事業者や政府系サイトが、国家関与が疑われる攻撃者から標的にされていると警告している。
Reactは木曜日、React2Shell危機のさなかに、顧客が新たなアップグレードを適用する必要があると警告した。これは、サービス拒否(DoS)の欠陥やソースコード露出を含む、追加の脆弱性が研究者によって発見されたことを受けたものだ。
サービス拒否の脆弱性は、CVE-2025-55184およびCVE-2025-67779として追跡されており、攻撃者が悪意あるHTTPリクエストを作成してServer Functionsエンドポイントに送信することで、無限ループを引き起こす可能性がある。この欠陥の深刻度スコアは7.5だ。
ソースコード露出の脆弱性はCVE-2025-55183として追跡されており、脆弱なServer Functionに送信された悪意あるHTTPリクエストによって、任意のServer Functionのソースコードが安全でない形で返されてしまう可能性がある。
React2Shellは、研究者Lachlan Davidsonによって11月に発見され、12月3日に公表された。この脆弱性はCVE-2025-55182として追跡されており、React Server Functionエンドポイントに送信されるペイロードの安全でないデシリアライズにより、認証されていない攻撃者がリモートコード実行を達成できてしまう。この脆弱性は非常に不安定で悪用が容易だとみなされており、深刻度スコアは10となっている。
研究者らは、新たに公開された欠陥は、React2Shellで対処されたリスクほど深刻ではないと注意を促している。
「DoSは依然として攻撃者にとって価値があるものの、これら新たな問題の影響は、元のReact2Shellエクスプロイトの影響には及びません」と、VulnCheckのセキュリティリサーチ担当バイスプレジデントであるCaitlin Condon氏はCybersecurity Diveに語った。「情報漏えいであるCVE-2025-55183についても、開発者が脆弱なReact Server Components(RSC)関数を特定の方法で利用していることが前提となるため、前回の一連の脆弱性と比べて広範な悪用の可能性ははるかに低いと考えられます。」
Amazon、Palo Alto Networks、GreyNoiseの研究者らは、国家関与が疑われるアクターがReact2Shellを悪用していることを確認した。Palo Alto Networksの研究者は、少なくとも50の組織が事後侵害活動の被害を受けたことを確認している。Shadowserverの研究者によると、約16万5,000のIPと64万4,000のドメインで、潜在的に脆弱なコードが見つかったという。
一方で、Cloudflareの研究者らは木曜日、アジア系の脅威グループがReact2Shellの脆弱性を利用し、複数の国の重要インフラサイトを標的にしていると警告した。初期の標的の多くは台湾、ベトナム、日本、ニュージーランド、新疆ウイグル自治区に向けられていた。その後の悪用では、世界各地の重要インフラ事業者、政府機関、学術研究者のサイトが標的となった。
Cloudflareによると、ある重大な攻撃では、ウランおよび核燃料の輸出入に関与する国家機関が標的となったという。研究者らは、この攻撃に関する詳細な情報の提供を控えた。
