多くの Web プロジェクトに混乱をもたらし続けている長期化する React2Shell サーガは、さらに新たな展開を迎えた。初期の修正が不完全だったことが判明したのである。より詳細なレビューにより、React Server Components 実装において追加で 2 件の脆弱性が発見され、あわせて以前の不備にも別個の識別子が割り当てられた。
Vercel チームの Liz Herder は、報告の中で、新たに特定された問題として、高深刻度のサービス拒否(DoS)脆弱性(CVE-2025-55184)と、攻撃者がコンパイル済み Server Actions のソースコードを取得できてしまう中程度の脆弱性(CVE-2025-55183)が含まれることを明らかにした。いずれの問題もリモートコード実行は可能にしない。また、初期の React2Shell パッチは、すべてのワークロード種別に対するサービス拒否攻撃を完全には軽減できておらず、その結果として CVE-2025-67779 が割り当てられたことも指摘されている。
CVE-2025-55184 のケースでは、攻撃者は特別に細工した HTTP リクエストを任意の App Router エンドポイントに送信することで、デシリアライズ処理中にサーバープロセスをスタックさせ、過剰な CPU リソースを消費させることができる。CVE-2025-55183 では、細工されたリクエストによってコンパイル済み Server Actions コードが露出し、ビジネスロジックが漏えいする可能性がある。ただし、秘密情報については、ソースコード内に直接ハードコードされていない限り保護されるべきだとされている。
これらの脆弱性は、react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack パッケージのバージョン 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0、19.2.1 に影響する。これらのコンポーネントは Next.js(13.x、14.x、15.x、16.x 系列)で使用されており、React Server Components 実装を組み込む、あるいはそれに依存する他のフレームワークやプラグインにも含まれている可能性がある。
リスクを軽減するため、Vercel は新たなルールを導入し、Vercel WAF に適用して、ホストされているプロジェクトを追加コストなしで自動的に保護している。ただし同社は、WAF だけでは不十分であると警告しており、可能な限り早急にパッチ適用済みバージョンへ更新することを強く推奨している。問題は React 19.0.2、19.1.3、19.2.2 に加え、Next.js 14.2.35、15.0.7、15.1.11、15.2.8、15.3.8、15.4.10、15.5.9、15.6.0-canary.60、16.0.10、16.1.0-canary.19 で修正済みである。
