ReactのCVE-2025-55182とNext.jsのCVE-2025-66478：新たなRCE脆弱性がWebに及ぼす真の意味

ホーム » Python » ReactのCVE-2025-55182とNext.jsのCVE-2025-66478：新たなRCE脆弱性がWebに及ぼす真の意味

ここ数日、世界中のセキュリティ チームは、React エコシステムで新たに公開された 2 つのバグを評価するために急いでいます。 React Server Components の CVE-2025-55182 と Next.js の CVE-2025-66478これらの欠陥により、サーバー上で完全なリモートコード実行が可能になり、認証なしで攻撃者がほとんど手間をかけずに実行できるため、警戒が高まっています。

この問題は、現代のJavaScriptインフラの核心に迫るものです。ReactとNext.jsは、小規模なサイドプロジェクトから大企業が利用するプラットフォームまで、あらゆるものを支えており、クラウドワークロードのかなりの部分がそれらに依存しています。研究者たちは、 差し迫った大量搾取とほぼ完璧な搾取の信頼性開発チームと運用チームには、パッチ適用をタスク リストの最上位に移動するよう求められています。

CVE-2025-55182とCVE-2025-66478の実際の内容

問題の核心は React Server Components (RSC)「フライト」プロトコルサーバー駆動型レンダリングフローを処理するために導入されたメカニズム。CVE-2025-55182は、React自身の脆弱性に割り当てられた識別子です。 react-server パッケージ、 CVE-2025-66478はNext.jsの対応する欠陥をカバーしています。、このプロトコルを埋め込み、拡張します。

この脆弱性は本質的に RSCペイロードの処理方法における論理デシリアライゼーションのバグサーバーが特別に細工された不正なFlightペイロードを受信すると、実装はペイロードを処理する前にその構造を徹底的に検証しません。この欠陥により、攻撃者が制御するデータがサーバー側の実行に影響を与える可能性のある場所に紛れ込む可能性があります。

実際には、攻撃者は単一の React Server FunctionまたはRSCエンドポイントへのHTTPリクエストを作成するサーバーがそのペイロードをデシリアライズすると、サーバープロセスの権限で任意の JavaScript コードを実行するように強制され、単純なリクエストが本格的なリモート コード実行 (RCE) に変換される可能性があります。

セキュリティチームとベンダーは、両方のCVEが 最大CVSSスコア10.0最高の評価です。これは、リモートアクセスの可能性、認証要件の欠如、そして影響を受ける環境が完全に侵害される可能性の組み合わせを反映しています。

デフォルト設定が公開される理由

特に懸念されるのは、これらのバグが 特別な設定のない標準的なセットアップ. 生成された典型的なNext.jsアプリケーション create-next-app実稼働用にコンパイルされ、デフォルトのオプションでデプロイされたアプリケーションは、そのままでは脆弱になる可能性があります。

他の多くのものについても同様です RSC対応のフレームワークとツールは、 react-server 実装Reactの設計通りにFlightプロトコルを採用したため、安全でないデシリアライゼーションの動作が継承されました。開発者は、この脆弱性を悪用するために、特殊な機能やカスタム解析ロジックを追加する必要はありません。

このデフォルトの露出により、攻撃者が インターネットでRSCまたはサーバー機能のエンドポイントをスキャンする そして、実行可能な標的に素早く遭遇します。盗まれた認証情報や既存のアクセス権は必要ありません。関連するエンドポイントがパブリックインターネットからアクセス可能であり、脆弱なバージョンを実行している場合、それらは危険ゾーンにあります。

セキュリティ研究者は、成熟したセキュリティプログラムを備えた組織であっても、次のような理由で影響を受ける可能性があると強調しています。 RSCはフレームワークの更新やテンプレートを通じて暗黙的に有効化されることが多い一部のチームは、本番環境でこれを使用していることに気付いていない可能性があります。

React と Next.js のエコシステム全体への影響の範囲

複数の分析から、潜在的な爆発半径が異常に大きいという結論が導き出されました。Wiz Researchのデータによると、 クラウド環境の39%～40%に、CVE-2025-55182および/またはCVE-2025-66478に対して脆弱なReactまたはNext.jsインスタンスが含まれています。これは、パブリックインターネットのアプリケーション層のかなりの部分を占めます。

この問題は、スタンドアロンの React インストールに限定されません。 特にNext.jsは非常に普及している一部のデータセットでは、観測環境の約69%にこの脆弱性が見られ、その大半は公開されているNext.jsアプリを実行しています。この組み合わせは、クラウド資産の相当数において、脆弱なエンドポイントが信頼できないトラフィックに直接さらされていることを意味します。

特定のコンポーネントに関して言えば、この問題は React 19.0、19.1.0、19.1.1、および 19.2.0 欠陥のあるシリーズを含む react-server 実装。フレームワーク側では、RSCを統合するいくつかの一般的なツールも影響を受けています。具体的な影響は様々ですが、脆弱なプロトコルに関連する技術のリストには以下が含まれます。

• Next.js
• Vite RSCプラグイン（@vitejs/plugin-rsc)
• Parcel RSC プラグイン (@parcel/rsc)
• React Router RSC プレビュー
• レッドウッドSDK
• わくわく

研究者は次のことを強調しています。 影響を受けるものをバンドルするフレームワークやライブラリ react-server 実装 初期のアドバイザリでは明示的に記載されていない場合でも、対象範囲に含まれる可能性があります。組織は、トラフィック量の多い本番環境アプリだけでなく、ビルドツール、プレビュー、パイロットプロジェクト全体でRSCの使用状況を把握することが推奨されています。

クラウドプロバイダーも反応し始めている。例えば、あるベンダーは次のように述べている。 仮想マシン用のデフォルトのパブリックOSイメージには、脆弱なReactコンポーネントがデフォルトで有効になっていない。ただし、顧客が自分で React または Next.js をインストールして構成するワークロードは保護されません。

エクスプロイトの仕組みと信頼性の高さ

ベンダーは、防御側がパッチを当てる時間を確保するため、低レベルのエクスプロイトの詳細の一部を意図的に公開していませんが、大まかな概要は公開されています。攻撃者は、高レベルでは 特定の不正なRSCペイロードを運ぶHTTPリクエストを作成する React Flight データを解析するサーバー エンドポイントを対象としています。

脆弱なコードパスは標準的なデシリアライゼーションロジックの一部であるため、被害者が何かをクリックしたり、ログインしたり、複数段階のワークフローを実行したりする必要はありません。攻撃者はサーバー機能またはRSCエンドポイントにアクセスできる限り、攻撃を試みることができます。 安全でないデシリアライゼーションをトリガーし、自身のペイロードに向けて実行を誘導する.

セキュリティチームはテストで、エクスプロイトによって 「高忠実度」、成功率は100％に近づく 標的の構成が理解できれば、それだけで十分です。このような信頼性はリモートエクスプロイトでは珍しく、攻撃者がスキャンを自動化し、大規模な侵入を行う可能性が高まります。

専門家はまた、 現在公開されているパッチと勧告は、リバースエンジニアリングのロードマップとして効果的に機能します。エクスプロイトコードがまだ広く公開されていない場合でも、脅威アクターは脆弱なバージョンと修正されたバージョンの違いを研究し、脆弱なロジックを再構築して武器化することができます。 cadena de suministro de npm.

最新の報告では、広範囲に及ぶ悪用事例は確認されていないが、複数のセキュリティベンダーや研究者は、今後状況が急速に変化すると予想している。 攻撃者はパッチ未適用のシステムを悪用しようと競争している 組織が修復作業を完了する前に。

ベンダーの対応と利用可能なパッチ

CVE-2025-55182の発見者は セキュリティ研究者のラクラン・デイビッドソンMetaのバグ報奨金プログラムを通じて問題を報告した。最初の開示からパッチのリリースまでの対応は異例の速さで、バグの深刻さとウェブエコシステム全体への影響を反映している。

Reactチームは出荷しました 影響を受けるパッケージの強化バージョンコアライブラリについては、メンテナーはReactなどのアップデートを指摘している。 19.0.1、19.1.2と19.2.1 および、Flight プロトコルの特定のデシリアライゼーション ホールを閉じるのと同等の関連コンポーネントのパッチ適用済みバリアント。

フレームワーク側では、 Next.js を保守する Vercel は CVE-2025-66478 を割り当てました。 同じRSCの脆弱性による下流への影響について調査し、修正されたReact Server Componentsの動作を組み込んだNext.jsのアップデート版をリリースしました。セキュリティアドバイザリでは、この脆弱性はReactが サーバー機能エンドポイント そして、パッチはそれらのデコードルーチンを強化します。

RSCに依存する他のフレームワークやプラグインの作者（Redwood、Waku、ViteとParcelのRSCプラグインのメンテナーなど）は、 独自のガイダンスとパッチ適用後のバージョンアップデート react-server コードユーザーは、プロジェクト固有のアナウンスとアップグレード手順に従うように指示されています。

複数の商用セキュリティプロバイダーも対応しています。例えば、 Wizは、あらかじめ構築されたクエリとアドバイスを公開しました 脅威センターで顧客が自社の環境内の脆弱なインスタンスを検出できるようにしているが、他のベンダーは 特定のウェブアプリケーションファイアウォールは、一部のエクスプロイトの試みをブロックする可能性がある。 React トラフィックが正しくルーティングされているかどうかは関係ありません。しかし、メンテナーは、設定の調整や WAF ルールの変更は適切なパッチ適用に代わるものではないことを明確に認識しています。

リスク評価: 最も心配すべきは誰でしょうか?

簡単な答えはそれです React 19 または RSC 依存のフレームワークを本番環境で実行している組織 これを真剣に受け止めるべきですが、特に脆弱なデプロイメントパターンがいくつか存在します。例えば、一般公開されているNext.jsアプリケーションは、インターネットに直接接続され、RSC機能がデフォルトで有効になっていることが多いため、格好の標的となります。

多用する組織 サーバー機能、サーバー駆動型ルーティング、プレビュー、または実験的な RSC ベースの機能 特に危険にさらされているのは、Flightペイロードです。このような設定では、Flightペイロードが頻繁に処理される可能性が高く、攻撃者にペイロードをテストし、エクスプロイトを改良する機会を多く与えてしまいます。

共有環境やマルチテナント環境では、さらなる懸念が生じます。脆弱なReactサービスが内部リソースへの広範なアクセスを許可して実行される場合、 RCEの成功は転換点となる可能性がある ネットワークのより深いところまで、または顧客の境界を越えて横方向に移動できます。

アナリストらはまた、 Reactの採用範囲の広さ（Meta、Netflix、Airbnb、Shopify、Walmartなど多くの企業による）—これは、現実世界への影響が純粋に技術的なリスク計算に限定されないことを意味します。主要なアプリケーションスタックの侵害は、ユーザー、パートナー、そして下流のエコシステムに波及効果をもたらす可能性があります。

最後に、RSCにあまり依存していないと考えているチームであっても、その仮定を検証する必要があります。なぜなら ツールと定型文はRSC機能を静かに有効にすることができる一部のプロジェクトは、メンテナーが一見して認識しているよりも無防備な状態にある可能性があります。

React および Next.js ユーザー向けの実践的な緩和手順

勧告全体を通じて、一貫して繰り返されている点が 1 つあります。 パッチを当てたバージョンにアップグレードすることが唯一の確実な解決策である影響を受けるパッケージを更新せずに、根本的な安全でないデシリアライゼーション動作を完全に無効化する構成フラグや小さな調整は存在しません。

Reactを直接使用している組織の場合、メンテナーは以下を推奨します。 19.0.1、19.1.2、19.2.1以降の強化リリースへの移行と更新 react-server および関連するRSCパッケージチームは公式の React セキュリティ アドバイザリを参照して、依存関係ツリーで CVE-2025-55182 に対処する正確なバージョンを確認する必要があります。

Next.jsプロジェクトも同様に CVE-2025-66478の修正を含むパッチ適用済みのフレームワークバージョンにアップグレードするデフォルトの Next.js ビルドでも影響を受ける可能性があるので、主力アプリケーションだけでなく、小規模なサイトや社内ダッシュボードでも注意が必要です。

Redwood、Waku、ViteやParcelのようなバンドラー用のRSCプラグインなど、他のRSC対応フレームワークを使用している環境では、 ベンダーの発表を注意深く追跡し、強化された機能をバンドルしたアップデートを展開する react-server 実装 利用可能になり次第、修正を適用します。可能であれば、ステージング環境を使用して、本番環境に修正をロールアウトする前に、アプリケーションの動作を検証する必要があります。 GitHub Actions で秘密を保持する.

パッチ適用と並行して、セキュリティチームは 脆弱なバージョンと公開されたエンドポイントをスキャンするWiz などのベンダーのツールは、脆弱な React または Next.js インスタンスがどこで実行されているかを特定するのに役立ちます。また、Web セキュリティ スキャナーとアセット インベントリは、どのサービスがインターネットからアクセス可能で、どのサービスが内部ネットワークに限定されているかをマッピングできます。

守備側が短期的に注意すべきこと

CVE-2025-55182とCVE-2025-66478の公開は、よくあるパターンを示しています。広く使用されているコンポーネントに重大なバグが見つかり、すぐにパッチがリリースされ、その後、防御側と攻撃側の間で競争が始まります。今回のケースでは、 10.0 CVSSスコア、認証されていないRCE、およびデフォルトの露出 そのレースは特に熾烈なものになります。

セキュリティ研究者は、次の段階として パッチの迅速なリバースエンジニアリング 脅威アクターによる攻撃。詳細な概念実証コードが公開されていなくても、新旧のバージョンを比較することで、熟練した攻撃者が脆弱なロジックを再構築するのに十分な手がかりが得られます。

組織は増加を予想すべきである ReactとNext.jsのエンドポイントをスキャンする、そしてサーバー機能とRSC URLを狙った、より精査的なHTTPリクエストも増加しています。ログ記録と監視システムはここで役立ちます。異常な、あるいは不正な形式のフライトペイロード、デシリアライズ中の予期せぬエラー、特定のエンドポイントへのリクエストの急増は、エクスプロイトの試みの初期兆候となる可能性があります。 Burpコラボレーター pueden ayudar の再現ベクトル。

一部のディフェンダーも再検討している 多層防御制御 Reactのデプロイメントに関する対策。これには、Webアプリケーションファイアウォールを介したトラフィックのルーティング、内部サービスのネットワーク露出の強化、アプリケーション実行時の権限設定における最小権限設定の厳格化などが含まれる可能性があり、これにより、侵害によって自動的に広範なアクセスが許可されることが防止されます。

インシデント対応チームには、 これらのCVEに関連する潜在的な調査に備えるこれには、プレイブックの更新、疑わしい行動を分析するのに十分な期間、関連ログが保持されていることを確認すること、侵害が疑われる場合に支援できるサービスプロバイダーやセキュリティベンダーとの連絡を確立することなどが含まれます。

研究者、ベンダー、クラウドプロバイダーからのメッセージは一貫している。広範囲にわたる悪用はまだ公に確認されていないが、技術的な条件により、これは魅力的なターゲットとなり、 パッチ適用を待つことでリスク期間が大幅に延長される.

React の CVE-2025-55182 や Next.js の CVE-2025-66478 のような重大なリモート コード実行バグの場合、実用的な結論は明白です。 脆弱なRSCエンドポイントが調査されることを想定し、強化バージョンへのアップグレードを優先し、利用可能なツールを使用して、公開されているインスタンスを見つけて保護します。React とその関連フレームワークに大きく依存する Web スタックの場合、今タイムリーに修復を行うことで、後で発生する緊急事態の減少という成果が得られる可能性が高くなります。