React Server Components を運用している場合、なかなか一息つけそうにありません。すでに報告されている欠陥に加え、新たに発見されたバグにより、攻撃者は脆弱なサーバーをハングさせたり、Server Function のソースコードを漏えいさせたりできる可能性があります。そのため、RSC やそれをサポートするフレームワークを利用しているすべてのユーザーは、早急にパッチを適用する必要があります。
最新の脆弱性 ― 2 件の高深刻度のサービス拒否(DoS)バグ(CVE-2025-55184 および CVE-2025-67779、いずれも CVSS 7.5)と、ソースコード露出の欠陥(CVE-2025-55183、CVSS 5.3)は、以前に報告された最高深刻度の React の欠陥に対するパッチに穴がないかを調べていたセキュリティ研究者によって発見されました。この以前の欠陥は、現在も積極的に悪用されています。
CVE-2025-55182 は、12 月 3 日に公開・修正された「React2Shell」と呼ばれる React のサーバーサイド脆弱性で、リモートコード実行(RCE) を可能にします。研究者らは、過去 24 時間だけでも少なくとも 15 の異なる侵入クラスターを追跡しています。
高深刻度のサービス拒否バグ(CVE-2025-55184 および CVE-2025-67779)は、任意のサーバーファンクションのエンドポイントに特別に細工された HTTP リクエストを送信することで悪用され、サーバープロセスをハングさせ CPU を消費する無限ループを引き起こす可能性があります。
「これにより、攻撃者がユーザーによる製品へのアクセスを妨害し、サーバー環境のパフォーマンスに影響を与える可能性がある脆弱性の経路が生まれます」と、React チームは述べています。
研究者の RyotaK 氏と Shinsaku Nomura 氏は、DoS バグを発見してオープンソースライブラリの開発元である Meta に報告しました。
中程度の深刻度とされるソースコード露出の欠陥 CVE-2025-55183 を悪用するには、明示的または暗黙的に、文字列形式に変換された引数を露出させる特定のサーバーファンクションが存在している必要があります。
しかし、そのような関数が存在する場合、この脆弱性は悪意ある HTTP リクエストを通じて、ソースコード内にハードコードされた秘密情報を漏えいさせるために悪用される可能性があります。process.env.SECRET のようなランタイムの秘密情報は影響を受けません。
React は、この秘密情報漏えいの欠陥を発見したとして、Andrew MacPherson 氏にクレジットを与えています。
今回の新しい 3 件の CVE は、CVE-2025-55182 と同じパッケージおよびバージョンに存在します。対象となるのは、react-server-dom-webpack、react-server-dom-parcel、および react-server-dom-turbopack のバージョン 19.0.0、19.0.1、19.0.2、19.1.0、19.1.1、19.1.2、19.2.0、19.2.1、19.2.2 です。
また、React2Shell に対して以前に提供されたパッチ済みバージョンも、依然としてこれらの新しいバグに対して脆弱である点は特筆に値します。
「先週、重大なセキュリティ脆弱性に対してすでにアップデートを行っている場合でも、再度アップデートする必要があります」と、木曜日のセキュリティアラートには記載されています。「19.0.2、19.1.3、19.2.2 にアップデートしている場合、これらは不完全 であり、再度アップデートする必要があります。」
Palo Alto Networks の Unit 42 によると、水曜日の時点で、複数の業種にわたる 50 を超える組織が React2Shell の影響を受けており、北朝鮮や中国の攻撃者 がこの欠陥を悪用しています。
セキュリティおよびサイバー保険を手がける Coalition 社は(金曜日のアラートで、他の研究者らも指摘しているように)、React2Shell を 2021 年の Log4Shell 脆弱性(CVE-2021-44228)になぞらえました。この Log4Shell は、数百件におよぶランサムウェア攻撃を引き起こしました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/12/new_react_secretleak_bugs/
