- React Server Components の重大な CVE-2025-55182 の脆弱性により、安全でないデシリアライゼーションを介して認証されていないリモート コード実行が可能になります。
- この問題は CVE-2025-66478 として Next.js に伝播しており、両方の脆弱性は最大の深刻度 (CVSS 10) と評価されています。
- デフォルトの構成が公開されており、研究者は多くの実際の環境でほぼ 100% のエクスプロイトの信頼性を報告しています。
- ベンダーはガイダンスとパッチをリリースしており、React または Next.js を使用している組織は、すぐにデプロイメントを更新して確認する必要があります。
の開示 React Server Components の CVE-2025-55182 とそれに関連する Next.js への影響 ウェブ開発の世界で急速に最も議論されているセキュリティ問題の1つとなりました。この脆弱性は、これらの非常に普及している技術を利用するサーバー上で、攻撃者がリモートコード実行を実現するための重要な経路を露呈させるものです。
最新の React および Next.js スタックを採用しているチームにとって、これは抽象的な学術的なバグではありません。 セキュリティ研究者は、このエクスプロイトは現実的かつ非常に信頼性が高いと警告している。また、デフォルトの構成では、すぐにパッチを適用しないと、多くの本番環境の展開が予期せず攻撃に対して無防備な状態になることがあります。
「React2Shell」:Webを揺るがす重大な脆弱性とその重要性
この状況の中心にある脆弱性は、 CVE-2025-55182として公開追跡は、React Server Components(RSC)の背後にあるプロトコルに影響を与えます。研究者たちは、このエクスプロイト経路を「React2Shell」と名付けました。これは、攻撃が成功すると、細工されたRSCリクエストから基盤となるサーバーへの完全なシェルレベルのアクセスに移行できることを強調するためです。
大まかに言うと、欠陥が表面化するのは React Server Functionエンドポイントに提供されるペイロードの安全でないデシリアライゼーションサーバー コンポーネントがこれらの特別に細工されたペイロードを処理すると、攻撃者は認証を必要とせずに、一見無害なデータ処理から任意のコード実行に移行できます。
根本的な問題は React オープンソース実装にありますが、その影響はそれだけに留まりません。 Next.jsはReactをベースに構築されており、本番環境レベルのアプリケーションで広く使用されています。は、サーバーサイドロジックの処理においてこの問題を引き継いでいます。この下流リスクはCVE-2025-66478として別途カタログ化されており、影響範囲は現代のWebスタックの大部分にまで広がります。
CVE-2025-55182とNext.jsの対応版はどちらも 最大重症度スコア10が割り当てられた 共通脆弱性スコアリングシステムに基づく評価です。この評価は、リモートからの悪用可能性、認証要件の欠如、そしてシステム全体の侵害の可能性の組み合わせを反映しています。
React2Shell とは何ですか? どのように機能しますか?
内部的には、React Server Componentsは、クライアントとサーバーがシリアル化されたペイロードを交換してサーバー側のレンダリングとロジックを処理するプロトコルに依存しています。React2Shellの中核は、 これらのペイロードは、安全でないデシリアライゼーションを引き起こすような方法で操作される可能性がある。これにより、攻撃者が制御する入力がサーバー上で実行可能な命令として解釈されるようになります。
典型的な攻撃シナリオでは、攻撃者は悪意のあるペイロードを作成し、 アプリケーションによって公開されるReact Server Functionエンドポイントこの脆弱性は認証なしでも発動できるため、攻撃者はエンドポイントへのネットワーク アクセスさえあれば悪用を試みることができます。
悪意のあるペイロードが処理されると、サーバーはそれを安全でない方法でデシリアル化し、データとコードの境界を実質的に曖昧にする可能性があります。 これにより、リモートコード実行の扉が開かれるこれにより、攻撃者はサーバー プロセスの権限で任意のコマンドを実行できるようになります。
Wiz の研究者が公開した調査結果によると、エクスプロイト経路は単なる理論上のものではない。 内部実験では、成功率がほぼ100%の「高忠実度」の搾取が報告された。 彼らがテストした環境では、その信頼性レベルは攻撃者にとっての障壁を劇的に下げ、防御者にとっての緊急性を高めます。 NPM のスミニストに関する情報.
実務家にとって特に心配なのは、 脆弱な動作はデフォルト設定に存在する言い換えれば、開発者は必ずしも安全でない設定を選択する必要はなく、多くのアプリケーションは標準の推奨スタックを使用しているという理由だけで危険にさらされているのです。
範囲と影響:なぜこれほど多くのプロジェクトが危険にさらされているのか
関連するテクノロジーにより、これは特に広範囲にわたる問題となります。 Facebookで生まれ、現在はオープンソースライブラリとして維持されているReactは、現代のウェブインターフェースの大部分を支えている。 コンポーネントベースのモデルとエコシステムのおかげで、VercelがメンテナンスするNext.jsは、サーバーサイドレンダリングとAPIルートを備えた本番環境対応のReactアプリケーションを構築するための頼りになるフレームワークとなっています。
この人気により、影響を受ける展開の数は少なくありません。 Wizの研究者は、調査したクラウド環境の約40%に脆弱なReactまたはNext.jsインスタンスが含まれていると推定した。このスナップショットは、このバグがエッジケースではなく、幅広い組織や業界にわたる主流の懸念事項であることを示唆しています。
攻撃が成功した場合の実際的な影響は深刻なものとなる可能性があります。 攻撃者がCVE-2025-55182または関連するNext.jsの脆弱性を利用してリモートコード実行を取得すると、機密データにアクセスしたり、環境内で横方向に移動したり、バックドアを仕掛けたり、侵害されたサーバーをさらなる攻撃の拠点として使用したりする可能性があります。
ウォッチタワーの創設者兼CEOであるベンジャミン・ハリスは、公開されている技術的な詳細はまだ比較的限られているものの、 パッチの公開は、攻撃者を誘導するのに十分であるコードの変更や勧告ノートを確認し始めると、エクスプロイトパスを再現し、それを武器として利用することが非常に容易になります。
広範囲にわたる修復が行われる前にパッチが公開されるというこの力学は、しばしば競争を生み出します。 組織は今や脅威アクターと効果的に競争している 悪用試行が増加する前に修正プログラムと緩和策を展開します。
React2Shellが特に危険な理由
この脆弱性が通常のセキュリティ勧告とは一線を画すのは、いくつかの要因が重なっているからです。まず、 認証要件がないため、匿名の攻撃者が公開されたエンドポイントを直接標的にすることができます。パブリックにアクセス可能なサーバー コンポーネントのエンドポイントは、直ちに攻撃対象領域の一部になります。
第二に、バグが現実世界でどのように現れるかによって、 非常に高いエクスプロイトの信頼性Wiz が報告したように、典型的な構成では、概念実証シナリオにおいてエクスプロイト パスはほぼ毎回機能し、複雑または脆弱な攻撃チェーンの必要性が減りました。
3 番目に、この問題は、React Server Components と Next.js がサーバー側ロジックを処理する方法の核心に関係しています。 この欠陥はRSCプロトコル自体に関係しており、単に狭いエッジ機能に関係しているわけではないため多くのアプリケーションは、公式ドキュメントで推奨されている標準パターンに従うだけでリスクを継承します。
最後に、より広範なエコシステムのコンテキストが重要です。 ReactとNext.jsはクラウドネイティブとマイクロサービスアーキテクチャに深く組み込まれています 小規模なスタートアップから大企業まで、あらゆる企業を支えるセキュリティ。たった一つのサーバーコンポーネントが侵害されれば、はるかに大規模で複雑な環境への侵入口となる可能性があります。
これらの特性を組み合わせると、脆弱性が最大の深刻度レベルと評価され、セキュリティコミュニティが強く推奨している理由が説明できます。 迅速なパッチ適用と積極的なリスク評価 待機して見るアプローチではなく。
すでに行われていること(そして今すぐ行うべきこと)
この問題がMeta Bug Bountyプログラムを通じて報告されると、 研究者のラクラン・デイビッドソンは11月29日にReactチームに通知した。 — メンテナーは調査、修正、そして情報開示の調整に着手しました。ReactプロジェクトとNext.jsを開発するVercelは、ユーザーがソフトウェアをアップデートするためのガイダンスを公開しました。
ベンダー側から見ると、 パッチリリースとアドバイザリノートには、影響を受けるバージョンとアップグレード方法が概説されています。React Server Components または Next.js を使用している組織は、これらのドキュメントを注意深く確認し、対象範囲に含まれるデプロイメントを特定し、更新を最優先事項としてスケジュールする必要があります。
デフォルト設定は脆弱であるため、「カスタム設定」または最小限の使用で保護が提供されると単純に想定するのは危険です。 セキュリティチームは、React Server Components または Next.js に依存するすべてのアプリケーションをインベントリする必要があります。インターネットに公開されているパブリックアクセス可能なエンドポイントに特に注意を払います。
パッチを適用することが主なステップですが、短期的な緩和策を検討することも賢明です。 サーバーコンポーネントエンドポイントの不要な公開を制限する可能な限りネットワークアクセス制御を強化し、疑わしいリクエストパターンの監視を強化することで、アップデートが展開されている間のリスクを軽減できます。 GitHub Actions で秘密を保持する.
組織は開発チームと緊密に連携して、 ログ、インシデント対応計画、異常なアクティビティの兆候を確認する ReactやNext.jsのサービスを中心に、 Burp Collaboratorの使い方 パラディテクタ・インターアクシオネス・フエラ・デ・バンダ。
これがウェブエコシステムに何を意味するのか、そして何に注意すべきか
CVE-2025-55182とそのNext.js版の出現により、次のような幅広い疑問が生じています。 急速に進化するウェブフレームワークが複雑なサーバー側機能のセキュリティをどのように管理するかReact サーバー コンポーネントは強力ですが、厳密な精査を必要とする新しい通信パターンとシリアル化ロジックを導入します。
より広いエコシステムにとって、この事件は、成熟し広く採用されている技術でさえも、 微妙な実装の詳細に起因する重大な脆弱性パフォーマンスの最適化、開発者の利便性、柔軟な API の組み合わせにより、研究者によるストレステストが行われるまで、深いセキュリティの仮定が隠れてしまうことがあります。
今後、ReactとNext.jsのコミュニティは、 サーバー機能、ペイロードのシリアル化、およびデフォルト設定の安全な処理に重点を置きます。セキュリティを重視する組織は、サーバー コンポーネントを使用して構築する際の安全な実践に関する、より明確なガイダンス、より明示的な強化オプション、および拡張されたドキュメントを求めることもあります。
一方、防御側は、公式プロジェクト チャネル、セキュリティ ベンダー、脆弱性の分析を続けている研究者からの最新情報を注意深く追跡する必要があります。 新しい概念実証、検出ルール、ベストプラクティスの推奨事項 より多くの専門家が React2Shell とその変種の詳細を調査するにつれて、新たな発見が出てくる可能性があります。
結局のところ、このエピソードは 現代のウェブスタックを安全に保つことは継続的なプロセスである一度きりのセットアップ作業ではありません。フレームワークが進化するにつれて、潜在的な攻撃対象領域も拡大します。そして、迅速に適応する組織は、重大な欠陥が明らかになった際に、より適切な対応を取る傾向があります。
本番環境で React または Next.js に依存しているチームにとって、CVE-2025-55182 は次の明確なシグナルとなります。 サーバー側の機能を他の重要なインフラストラクチャと同じセキュリティ厳格さで扱う上流のアドバイスを常に把握し、このレベルの影響を伴う問題が表面化したときに迅速に行動できるように準備しておいてください。
この報道は、サイバーセキュリティに特化したメディアやベンダーの勧告によって最初に公開された情報に基づいており、 React2Shellはプライベートレポートから緊急優先事項へと急速に移行しました ウェブ上の組織向け。
