Reactサーバーコンポーネントで新たに開示された高度な脆弱性により、認証されていない攻撃者はサービス拒否(DoS)状況を引き起こす可能性があります。
CVE-2026-23869として追跡されているこの欠陥は、特定のサーバーサイドレンダリングパッケージを使用するウェブアプリケーションに重大なリスクをもたらします。
エクスプロイトは特権を必要とせず、攻撃の複雑性が低いため、脅威アクターはネットワーク経由で脆弱なサーバーを簡単に標的にしてビジネス操作を中断させることができます。
エクスプロイトを理解する
この脆弱性は無制御リソース消費の問題(CWE-400)として分類され、また不安全な逆シリアル化慣行(CWE-502)にもリンクされています。
脅威アクターは、特別に細工されたHTTPリクエストをReactサーバー機能エンドポイントに直接送信することで、この欠陥を引き起こすことができます。
脆弱なサーバーがこの悪意のあるペイロードを受け取ると、リクエストを処理しようとし、大規模なCPUスパイクが発生します。
単一のリクエストにより、最終的にキャッチ可能なエラーがスローされるまで、最大1分間過度なCPU使用を強制する可能性があります。攻撃者がこれらの細工されたリクエストの連続ストリームを送信する場合、サーバーの処理能力は急速に枯渇します。
このリソース枯渇により、アプリケーションは正当なユーザートラフィックを処理できなくなり、アプリケーションのダウンタイムとユーザーエクスペリエンスの完全な混乱が生じます。
この脆弱性は、一般的なウェブバンドラーで使用されるサーバーサイドドキュメントオブジェクトモデル(DOM)パッケージを特に標的とします。
アプリケーションがReactサーバーコンポーネントに依存している場合、次のnpmパッケージについてプロジェクト依存関係を確認する必要があります:
react-server-dom-parcelreact-server-dom-turbopackreact-server-dom-webpack
これら3つのパッケージすべてについて、この脆弱性は3つのアクティブなリリースラインに存在します:
- バージョン19.0.0~19.0.4
- バージョン19.1.0~19.1.5
- バージョン19.2.0~19.2.4
Reactの開発チームは、無制御リソース消費の欠陥を解決するためにセキュリティ修正を正常にバックポートしました。
インフラストラクチャを潜在的なDoS攻撃から保護するために、管理者は影響を受けるnpmパッケージを以下のパッチされたバージョンに直ちにアップグレードする必要があります:
- バージョン19.0.5にアップグレード
- バージョン19.1.6にアップグレード
- バージョン19.2.5にアップグレード
すべてのReactアプリケーションがリスクにさらされているわけではないことに注意することが重要です。この脆弱性は、Reactサーバーコンポーネントを実行している環境に厳密に限定されています。
Reactアプリケーションがサーバーなしでクライアント側で完全に動作する場合、影響を受けません。同様に、アプリケーションがReactサーバーコンポーネントをサポートするように設計されたフレームワーク、バンドラー、またはバンドラープラグインを使用しない場合、このアラートを安全に無視できます。
翻訳元: https://gbhackers.com/new-react-server-components-flaw/
