React Server Componentsの新たに発見された高度の脆弱性は、認証されていない攻撃者が最小限の努力でサービス拒否(DoS)条件をトリガーできるため、ウェブ開発とセキュリティコミュニティ全体で懸念を引き起こしています。
CVE-2026-23869として追跡されている、この欠陥は特定のサーバーサイドレンダリングパッケージに影響を与え、修正されないままでは深刻なサービス中断につながる可能性があります。
この問題は制御されないリソース消費の欠陥(CWE-400)として分類されており、安全でない逆シリアル化(CWE-502)とも関連しています。
これにより、攻撃者はReact Server Functionエンドポイントに特別に細工されたHTTPリクエストを送信し、サーバーにシステムリソースに大きな負荷をかける悪意あるペイロードを処理させることができます。
この脆弱性を特に危険にしているのは、その低い攻撃の複雑性と認証要件の欠如です。
攻撃者は欠陥を悪用するために有効な認証情報や昇格された権限を必要としないため、さらされたアプリケーションを標的にする脅威アクターにとって非常にアクセスしやすくなっています。
脆弱性のあるサーバーがReact Server Componentsがシリアル化されたデータをどのように処理するかを悪用するために設計された悪意あるリクエストを受け取ったときに、悪用がトリガーされます。そのようなリクエストを処理すると、サーバーはCPU使用率の急激な上昇を経験します。
場合によっては、1つの細工されたリクエストでも、システムが回復可能なエラーをスローする前に、最大1分間過度なCPU消費を引き起こすことができます。
しかし、そのようなリクエストの継続的なストリームはサーバーリソースをすぐに圧倒することができます。これはリソースの枯渇につながり、アプリケーションが正当なトラフィックに応答するのを防ぎ、事実上ダウンタイムを引き起こします。
たとえば、攻撃者は公開されているエンドポイントへの繰り返しリクエストを自動化し、利用可能なすべてのCPUリソースを徐々に消費して、実際のユーザーのサービスを使用できなくすることができます。
これらのアップデートを適用することで、制御されないリソース消費の問題が軽減され、攻撃者が脆弱性を悪用するのを防ぎます。
すべてのReactアプリケーションが脆弱ではありません。この問題はReact Server Componentsを積極的に使用している環境に限定されています。完全にクライアント側で動作するアプリケーションは影響を受けません。
同様に、React Server Componentsをサポートするフレームワーク、バンドラー、またはプラグインに依存していないプロジェクトは、この脅威にさらされていません。
React Server Componentsを使用している組織は、すぐに依存関係を監査し、影響を受けるパッケージをアップグレードする必要があります。
さらに、レート制限、リクエスト検証、および異常なCPUスパイク監視の実装は、潜在的な悪用の試みを検出および軽減するのに役立つことができます。
悪用の容易さとサービス中断の可能性を考えると、アプリケーションの可用性を維持し、ユーザーエクスペリエンスを保護するためには、タイムリーなパッチが重要です。
翻訳元: https://cyberpress.org/react-vulnerability/