React Server Componentsにおいて複数のサービス拒否(DoS)脆弱性が発見され、広く利用されている複数のnpmパッケージに影響しています。
2026年1月26日に公開されたこれらの欠陥により、React Server Componentsを使用するアプリケーションは、サーバークラッシュ、メモリ枯渇、過剰なCPU消費の可能性にさらされ、影響を受けるバージョン全体で緊急のセキュリティ更新が促されています。
セキュリティ研究者は、React Server ComponentsのDoS脆弱性に対処する以前のパッチが不完全であり、アプリケーションが新たな攻撃ベクトルにさらされたままであることを特定しました。
脆弱性は3つの中核パッケージ(react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack)に影響し、悪用にはServer Functionエンドポイントに送信される特別に細工されたHTTPリクエストが必要です。
攻撃の仕組みは、無限ループを引き起こし得る悪意あるリクエストを用いるもので、サーバープロセスがハングしてCPUリソースを無期限に消費する可能性があります。
攻撃者は、特別に細工されたネットワークリクエストを低い複雑性で送信でき、攻撃の実行に特権やユーザー操作は不要です。
この脆弱性はシステムの可用性に影響しますが、機密性と完全性には影響しません。
React Server Functionエンドポイントを実装していないアプリケーションであっても、React Server Componentsアーキテクチャをサポートしている場合は脆弱なままです。
この欠陥は、以前のセキュリティパッチにおける不完全な修正を示しており、初期の是正対応がすべての攻撃ベクトルに対処できていなかったことを明らかにしています。
Reactチームは、これらの重大な欠陥に対処するための緊急セキュリティパッチをリリースしました。バージョン19.0.0〜19.0.3、19.1.0〜19.1.4、19.2.0〜19.2.3を実行しているアプリケーションは脆弱であり、修正済みバージョン19.0.4、19.1.5、または19.2.4への即時更新が必要です。
影響を受けるフレームワークおよびバンドラーには、Next.js、React Router、Waku、@parcel/rsc、@vite/rsc-plugin、rwsdkが含まれます。
以前に19.0.3、19.1.4、または19.2.3へ更新した組織は、新たなパッチを適用する必要があります。これらのリリースには不完全な修正が含まれており、依然としてシステムが悪用にさらされるためです。
Reactチームは、最新の修正済みバージョンへの即時アップグレードを推奨しています。管理者は、潜在的なサービス中断を防ぐため、React Server Componentsを実行している本番環境の更新を優先すべきです。
サーバーサイドのReactコードやReact Server Componentsを使用していないアプリケーションは、これらの脆弱性の影響を受けず、更新は不要です。
この公開は、現代のJavaScriptフレームワークのセキュリティ確保の複雑さと、パッチ実装時に徹底したセキュリティテストを行う重要性を浮き彫りにしています。
開発チームは依存関係の連鎖を見直し、すべてのReact Server Componentパッケージが最新の安全なバージョンに更新されていることを確認すべきです。