- React サーバー コンポーネントの新しい脆弱性 (CVE-2025-55183 および CVE-2025-55184) により、ソース コードの公開とサービス拒否が発生する可能性があります。
- どちらの問題も、 react-server-dom-parcel、-turbopack、および -webpack パッケージの特定の 19.x バージョンに影響します。
- Meta の React チームは、修正バージョン 19.0.3、19.1.4、19.2.3 をリリースし、迅速なアップグレードを促しています。
- これらのバグは、以前の React2Shell (CVE-2025-55182) パッチのストレステスト中に発見され、RSC の攻撃対象領域が厳しく精査されていることを示しています。
ツー React Server Components (RSC) に新たに公開された脆弱性 現代のJavaScriptバックエンドのセキュリティに新たな注目を集めています。 CVE-2025-55183 および CVE-2025-55184これらの欠陥により、リモートでの直接的なコード実行が可能になることはありませんが、適切な条件下で悪用された場合、サービス拒否やバックエンドのソースコードの望ましくない開示によって深刻な混乱を引き起こす可能性があります。
これらのバグは、より広範な 重大なReact2Shellの問題(CVE-2025-55182)によるセキュリティレビューすでに悪用が活発に行われていた脆弱性。新たな脆弱性は以前の10.0 CVSS脆弱性ほど深刻ではないものの、重大なバグが公表されると、研究者や攻撃者がいかに深く調査に踏み込むかを浮き彫りにしている。 隣接するRSCコードパスで変異型攻撃手法を検索する.
背景: React2Shellから新しいRSCの脆弱性まで
防御側とReactチームがReact2Shellの緩和策を展開するにつれ、セキュリティ研究者は更新されたコードを調査し、修正が 回避または新しいエクスプロイトプリミティブに拡張このプロセスは業界全体で標準的な手法です。重大な脆弱性にパッチが適用されると、近くのロジックとインターフェースが同様のパターンについて徹底的に検査されます。
この追加研究中に 関連する3つのRSCバグが文書化されましたサービス拒否攻撃(CVE-2025-55184)、同じ影響を伴うその後の不完全な修正(CVE-2025-67779)、そして情報漏洩の脆弱性(CVE-2025-55183)です。CVE-2025-67779もRSCのセキュリティに関連していますが、現在主な焦点となっているのは、 CVE-2025-55183 および CVE-2025-55184 の新たに詳細化された動作と影響.
この技術的分析に加え、インシデント対応担当者は、React2Shellを軸としたエクスプロイトチェーンの進化を目の当たりにしてきました。攻撃者は、RCEとエクスプロイト後のペイロード、そしてラテラルムーブメントを組み合わせています。こうした継続的な活動により、組織は対応の緊急性を高めています。 CVE-2025-55183およびCVE-2025-55184を含むすべての関連するRSCの脆弱性は、単一の進化する攻撃対象領域の一部です。 個別のバグではなく。
これらの問題の発見と責任ある開示は、セキュリティコミュニティ、ベンダーエンジニア、バグバウンティハンターがいかにして Reactのような広く使われているフレームワークを強化するために協力する敵対者はまさに同じコンポーネントを兵器化しようと試みているにもかかわらずです。
CVE-2025-55184 の技術的詳細: サーバー機能におけるサービス拒否
CVE-2025-55184は、 認証前サービス拒否(DoS)脆弱性 React Serverコンポーネントに影響を及ぼしています。問題の根本は、特定のRSCパッケージの処理方法にあります。 HTTPリクエストからのペイロードのデシリアライズ サーバー機能のエンドポイントをターゲットにします。
脆弱なバージョンでは、特別に細工されたリクエストが 無限ループに陥る安全でないデシリアライゼーションロジックこのループがアクティブになると、サーバー機能を処理するプロセスが事実上ハングし、アプリケーションが後続の HTTP トラフィックを処理できなくなったり、確実に応答できなくなったりする状態になります。
この欠陥は悪用される可能性があるため、その影響は特に懸念される。 認証が強制される前につまり、攻撃者は有効な認証情報や昇格された権限を必要とせず、悪意のあるリクエストのストリームだけでサーバーのリソースを拘束し、潜在的に RSC を利用したサービスをオフラインにする.
公開されたスコアによると、CVE-2025-55184は CVSSベーススコア7.5重大度の高いカテゴリに分類されます。それ自体ではコード実行は発生しませんが、バックエンドスタックの主要部分に対する信頼性の高いDoSプリミティブは、 可用性リスク、サービスレベル契約違反、下流ビジネスへの影響.
パッチ適用プロセス中に、別の識別子、 CVE-2025-67779は、この問題の不完全な修正に割り当てられました。このフォローアップCVEは、依然として同じサービス拒否効果をもたらす残存パスに対処しており、 複雑なデシリアライゼーションのバグを修正するには、あらゆるエッジケースをカバーするために複数回の反復が必要になる場合があります。.
CVE-2025-55183 の技術的詳細: 細工されたリクエストによるソースコードの露出
CVE-2025-55184は可用性に焦点を当てており、 CVE-2025-55183は機密性に関するものであるこの脆弱性は、 React Server Componentsにおける情報漏洩の脆弱性 これにより、特定のサーバー関数のソース コードがリモート クライアントに返される可能性があります。
脆弱なリリースでは、公開されたサーバー機能に送信される慎重に設計されたHTTPリクエストが、サーバーが 対象となるサーバー関数の基礎となるコードで応答しますこの種の漏洩により、実装の詳細、ビジネス ロジック、ハードコードされた文字列、組織が通常はサーバー側で厳重に保管しているその他の機密情報が漏洩する可能性があります。
しかし、CVE-2025-55183の悪用には、特定の前提条件があります。少なくとも1つの 文字列形式に変換された引数をインターフェースで公開するサーバー関数明示的または暗黙的に。アプリケーションのRSC使用においてこのパターンが存在する場合にのみ、攻撃者にとって脆弱性が利用可能となります。
セキュリティ評価の割り当て CVE-2025-55183に対するCVSSスコア5.3中程度の深刻度に分類されます。しかし、ソースコードの漏洩は、決して無害とは言えません。内部関数名、パラメータ、エラー処理、データフローに関する知識は、 敵がよりカスタマイズされた攻撃を仕掛けるのに役立つ可能性がある隠れた弱点を見つけ出し、実際のシステムの動作に近いフィッシングやソーシャル エンジニアリングの取り組みを設計します。
直接的な悪用価値を超えて、漏洩したサーバー機能コードから得られる可視性は、アプリケーションを事実上独自のものに変える可能性がある。 将来の侵入の試みの青写真特に、複数のサービスにわたって同じパターンが現れる環境では顕著です。
React RSCエコシステムの影響を受けるパッケージとバージョン
新たに文書化された脆弱性は、 React Server Components 統合パッケージ、具体的にはRSCをビルドツールやランタイムツールにプラグインする実装です。影響を受けるモジュールは以下のとおりです。
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
CVE-2025-55184とCVE-2025-55183の両方において、影響を受けるバージョンは複数の19.xリリースにまたがっています。脆弱なセットには以下が含まれます。 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0および19.2.1開発チームは、これらのバージョンを本番環境またはステージング環境で実行する場合、インスタンスが サービス拒否攻撃やソースコード漏洩の影響を受ける可能性がある 信頼できないトラフィックにさらされた場合。
さらに、不完全な修正は CVE-2025-67779 バージョンに影響 19.0.2、19.1.3と19.2.2この識別子は CVE-2025-55184 と同じ種類の DoS 動作に関連付けられていますが、アップグレードされた環境であっても、これらの中間リリースに到達した場合は部分的に無防備なままになる可能性があることを強調しています。
影響を受けるバージョンの範囲は、 RSCの迅速な反復サイクル パッチ管理が複雑になることがあります。散発的にアップグレードしたり、特定のマイナーバージョンに固定したりする組織は、新しくリリースされたバージョンが影響を受ける期間内に収まっていることに気づかない可能性があり、 慎重なバージョン監査が不可欠.
Reactエコシステムの人気と、パフォーマンスと開発者エクスペリエンスのためのサーバーコンポーネントの採用の増加を考えると、 CVE-2025-55183およびCVE-2025-55184 幅広い業界や展開モデルにまたがる可能性があります。
パッチ適用バージョンと推奨アップグレードパス
この脆弱性に対処するために、Reactチームは 影響を受ける3つのRSCパッケージすべてのパッチバージョンユーザーは、できるだけ早く次の修正リリースに移行することを強く推奨されます。
- 19.0.3
- 19.1.4
- 19.2.3
メンテナーによると、これらのアップデートは CVE-2025-55184および関連するCVE-2025-67779によって具体化されたサービス拒否問題を完全に軽減します。、およびCVE-2025-55183で説明されている情報漏洩リスクも存在します。重要なのは、以前のReact2Shellベクトル(CVE-2025-55182)も、19.xブランチ全体でリリースされたより広範なパッチセットによってブロックされていることです。
本番環境への導入を担当するチームは、これを 優先度の高いメンテナンスタスク特に、正当な研究者と敵対的なアクターの両方によるRSC脆弱性の積極的な調査を考慮すると、最新のマイナーラインをすぐに導入することが現実的ではない場合でも、組織は少なくとも以下の対策を講じる必要があります。 脆弱性が特にリストされているビルドのいずれにも該当しない.
いつものように、ライブラリのアップグレードは テストと段階的な展開重要なサーバー機能の周囲に回帰チェックを追加し、アップグレード後のエラー率を監視し、異常なデシリアル化またはシリアル化アクティビティのログを確認することで、実際のトラフィックで新しいバージョンが期待どおりに動作することを確認できます。
パッチの迅速な提供は、複数回の開示が必ずしも修復の失敗の兆候ではなく、むしろ 時間の経過とともに守備の深さが向上する健全な対応サイクル より多くのエッジケースとバリアントパスが発見され、解決されるにつれて。
脆弱性がどのように発見され報告されたか
新たに文書化された欠陥は、 独立したセキュリティ研究者とMetaのバグ報奨金プログラムサービス拒否問題CVE-2025-55184とそれに続くCVE-2025-67779は、 RyutaKと野村晋作は、悪意のあるペイロードがどのようにして RSC を応答しない状態に陥らせるのかを特定したことで評価されました。
情報漏洩の脆弱性、 CVE-2025-55183は、 アンドリュー・マクファーソンは、慎重に構築された HTTP リクエストが提示されたときに、サーバー関数が独自のソース コードを返す可能性がある条件を強調しました。
これらの発見は、研究者たちが積極的に CVE-2025-55182 の既存の緩和策をストレステストするそうすることで、彼らは、責任ある報告と調整されたパッチ配布の枠組みの中で、意志の強い攻撃者が行うような分析作業を効果的に再現しました。
Reactチームは、このようなパターンは ソフトウェア業界全体に共通するJavaScriptエコシステム内だけでなく、他の分野にも影響を及ぼします。重大なバグが注目を集めると、開発者と攻撃者は共に、 「亜種」の悪用戦略 隣接するコード パスに沿って、これまで見落とされていた弱点が明らかになることもあります。
CVE-2025-55183、CVE-2025-55184、CVE-2025-67779に迅速かつ透明性を持って対処することで、メンテナーは 潜在的な兵器化に先手を打つ 組織に、React Server コンポーネントの展開を保護する方法に関する明確なガイダンスを提供します。
リスクのコンテキスト: RCE 以外のバグが依然として重要な理由
これらの新しい脆弱性自体は攻撃者にリモートコード実行を直接許可するものではありませんが、 より広範な侵入キットに含まれる高価値ツールCVE-2025-55184 のようなサービス拒否の脆弱性は、業務を妨害したり、防御側の注意をそらす煙幕として機能したり、異常な負荷がかかった状態で組織のインフラストラクチャがどの程度回復力があるかを調査したりするために悪用される可能性があります。
並行して、次のようなソースコード露出ベクトルが CVE-2025-55183は偵察活動に影響を及ぼす可能性があるサーバー関数の内部テキストにアクセスすることで、リクエストの認証方法、データベースアクセスに影響を与えるパラメータ、エラー処理方法、サードパーティサービスが統合されている場所などを明らかにすることができます。こうした可視性は、より正確でステルス性の高い攻撃を仕掛けようとする攻撃者にとって非常に貴重です。
すでに災害の余波に対処している環境では React2Shell (CVE-2025-55182)これらの追加の脆弱性は、脅威の全体像を複雑化させます。防御側は、即時のRCE防止だけでなく、 悪意のある入力下におけるRSC動作の安定性と機密性.
ガバナンスの観点から見ると、この状況は、 脆弱性管理プログラムは、注目を集めるCVSS 10.0スコアを超えて考える必要がある可用性と情報漏洩に影響を及ぼす中程度から高程度の重大度のバグは、特に現実的な攻撃チェーンにおける他の手法と組み合わせると、依然として極めて重要になる可能性があります。
結局のところ、これらの進展は、安全なRSC展開の維持は一度きりの努力ではなく、継続的なプロセスであるという考えを強固なものにしています。 サーバー機能の設計と公開方法のパッチ適用、監視、テスト、レビュー 時間をかけて。
React2Shellの緊急事態とそれに関連する追加の発見が収束するにつれ、React Server Componentsを使用している組織は、 依存関係のバージョンを再検討し、サーバー側のインターフェースを強化し、上流のセキュリティアドバイザリに迅速に対応する最新のパッチリリースに準拠し、開発ワークフローにセキュリティチェックを統合することで、チームは CVE-2025-55183、CVE-2025-55184 および関連する RSC の脆弱性を狙う攻撃者にとっての機会を大幅に減らすことができます。
