サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

React Server Componentsの脆弱性(CVE-2025-55182)について

最終更新: 2026-01-07

I. 概要

2025年12月3日(現地時間)、React Server Componentsにおける認証不要のリモートコード実行の脆弱性(CVE-2025-55182)が公開されました。攻撃者が細工したHTTPリクエスト(HTTP経由の不正なFlightペイロード)をReact Server Components(RSC)を処理するサーバーに送信することで、認証不要のリモートコード実行につながる可能性があります。

なお、JPCERT/CCでは有効な概念実証(PoC)コードの公開を確認しました。
今後本脆弱性が悪用される可能性が高まっていると考えられます。

本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。

本脆弱性は、CNF公開時点では悪用が確認されていませんでしたが、その後、複数のセキュリティベンダーなどから悪用事例が報告されています。また、JPCERT/CCの調査においても本脆弱性の国内での悪用を確認しています。新たに追記した「IV. 侵害検出方法」などを参考に、自組織において不審な通信が発生していないかなどの確認と早期の対策の実施を推奨します。

** 更新: 2026年1月7日 *********************************************

JPCERT/CCでは本脆弱性を悪用し、SNOWLIGHT、HISONICなどのマルウェアが設置される国内事例を確認しています。「IV. 侵害検出方法」に掲載した追記情報やIoC情報を参考に、自組織内に該当する痕跡がないか確認いただくことを推奨します。

** 更新終了 *******************************************************

II. 対象

(React)
次のパッケージのバージョン19.0、19.1.0、19.1.1、19.2.0が本脆弱性の影響を受けます。

  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack

なお、React Server Functionエンドポイントを実装していなくても、React Server Componentsをサポートしている場合、本脆弱性の影響を受ける可能性があります。

また、次の場合は本脆弱性の影響を受けません。

  • アプリ内のReactコードがサーバーを使用していない場合
  • アプリがReact Server Componentsをサポートするフレームワーク、バンドラー、またはバンドラープラグインを使用していない場合

(上記に関連するフレームワークなど)
Next.jsのような一部のReactフレームワークおよびバンドラーについても、本脆弱性の影響を受けるReactパッケージに依存するなどの理由から、本脆弱性の影響を受けます。

Reactの開発チームによると、次のReactフレームワークおよびバンドラーが影響を受ける可能性があるとのことです。

  • next
  • react-router
  • waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

(Next.js)
次に該当するバージョンが本脆弱性の影響を受けます。

  • Next.js 16.x
  • Next.js 15.x
  • Next.js 14.3.0-canary.77以降のcanaryリリース

なお、次の場合は本脆弱性の影響を受けません。

  • Next.js 14.x stable
  • Next.js 13.x
  • Pages Routerアプリケーション
  • Edge Runtime

Next.jsはReact Server Componentsを標準的に採用しています。ECサイトやコーポレートサイト、SaaSなどさまざまなWebサービスに利用されていることから、これらのサービスの構成要素の一部であるReact Server Componentsの脆弱性の影響が広範に及ぶことが懸念されます。Next.js以外のWebアプリケーションフレームワークにおいてもReact Server Componentsに対応するものは幅広くあるため、今後、各製品の開発者などが本脆弱性に対応した修正バージョンを公開することが見込まれます。自組織で利用している製品やサービスにおいて本脆弱性に関連する情報が公開されていないかを注視してください。

なお、すでに本脆弱性のスキャナーが各所から数多く公開されていますが、スキャナーの実行によりマルウェア感染させる挙動が確認されたケースがあります。自組織においてスキャナーを用いた本脆弱性の検知などを実施される前に、信頼できる提供元であるか確認されることを推奨します。

III. 対策

開発者が公開する情報を確認の上、修正済みのバージョンへの更新を検討してください。

IV. 侵害検出方法

Amazon Web Servicesが公開する次のレポートの「Indicators of compromise」を参考にアプリケーションやWebサーバー、WAFなどのネットワーク機器のログなどに不審な点がないか確認することを推奨します。

Amazon Web Services
China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)
https://aws.amazon.com/jp/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

JPCERT/CCが確認した攻撃通信で、本脆弱性の悪用により以下の宛先を通信先とするペイロードを確認しました。記載はあくまで一部の例ですので、該当する通信が発生していないか確認することにあわせて、本項に記載の他の侵害検出方法も確認いただくことを推奨します。

  • https[:]//gist.githubusercontent[.]com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner.sh
  • https[:]//raw.githubusercontent[.]com/C3Pool/xmrig_setup/master/setup_c3pool_miner.bat
  • meomeoli.mooo[.]com
  • 89.144.31[.]18
  • api.hellknight[.]xyz
  • 171.252.32[.]135

加えて、次のレポートには、攻撃を受けたサーバーが通信する不正な通信先などのIoC情報が公開されています。自組織において不審な通信が発生していないかの確認の参考にしてください。なお、各レポートに記載のIoC情報は随時更新される可能性があります。

LAC
Reactの脆弱性を狙った攻撃の観測
https://www.lac.co.jp/lacwatch/alert/20251209_004572.html

Wiz
React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182
https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Palo Alto Networks
Exploitation of Critical Vulnerability in React Server Components (Updated December 9)
https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/

sysdig
EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks
https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

** 更新: 2026年1月7日 *********************************************

次のレポートでも、攻撃を受けたサーバーからの不審な通信先などのIoC情報が公開されています。自組織における確認の参考にしてください。

NTTセキュリティ・ジャパン
React2Shellによって実行されるマルウェアZnDoorについて
https://jp.security.ntt/insights_resources/tech_blog/react2shell_malware_zndoor/

また、JPCERT/CCは、本脆弱性を悪用した国内事例などをもとに以下のIoC情報を確認しています。該当する痕跡が自組織のシステムに残されていないか確認いただくことを推奨します。

なお、Google Threat Intelligence Groupは、複数のAPTアクターが本脆弱性を悪用して、SNOWLIGHT、HISONICなどのマルウェアを設置したとする分析記事を公開しています。あわせて、侵害調査などの参考にしてください。

Google Cloud
Multiple Threat Actors Exploit React2Shell (CVE-2025-55182)
https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182/?hl=en

  • 攻撃が行われた期間

    • 2025年12月以降

  • 攻撃で使用された通信先

    • SNOWLIGHTのダウンローダー
      • http[:]//45.143.131[.]123:59999/
    • CrossC2
      • 154.89.152[.]240:443

  • 攻撃に利用されたマルウェア

    • SNOWLIGHTのダウンローダー

      • ハッシュ値(MD5):29ad906cfddb132769cb80f755f05dd6
      • ハッシュ値(SHA1):f009bfdca0328e4d2d2b24740110093bd5a847ff
      • ハッシュ値(SHA256):0d07a974993221305ca7af139b73d9de1dcd992f553215e4f041e830a2d82729
      • ファイル名:javas

    • SNOWLIGHT

      • ハッシュ値(MD5):700c69b40cfccb71ed3c41cadb2f73bd
      • ハッシュ値(SHA1):7e0483022d9f55900f7b9b66c2d58a18097cf706
      • ハッシュ値(SHA256):5baa52387daedea5e3e00adf96ecacb4a2cdc98100664f29ac86e8e4a423baaf
      • ファイル名:54ad0ee3tcp

    • SNOWLIGHT

      • ハッシュ値(MD5):16d988733c491dfd5fc1a0125e5b9f5e
      • ハッシュ値(SHA1):c86abb747237ecf815b2cb00fdeb3b27dc85e3c8
      • ハッシュ値(SHA256):c1a9cfc62626118bd9f54e401fd52ecd2d766a5e8a69dbc7db909ea5c987fcc0
      • ファイル名:54ad0ee3tcp

    • CrossC2

      • ハッシュ値(MD5):393488e94b169b59d5ce6096dccedeb7
      • ハッシュ値(SHA1):122334aefafbc5a82782ee1de1029b95b88ff278
      • ハッシュ値(SHA256):4a74676bd00250d9b905b95c75c067369e3911cdf3141f947de517f58fc9f85c
      • ファイル名:rsyslo

    • HISONIC

      • ハッシュ値(MD5):1937f269c6f1b9da5a0a67d091169123
      • ハッシュ値(SHA1):b0064924e0ba32cf4226236d5990a453ebd9f28f
      • ハッシュ値(SHA256):1a1edbea47162b1aa844252fcd4fb97f2a67faec1993e7819efc6a04b7c15552
      • ファイル名:javax

  • SNOWLIGHTの設置先ディレクトリ(次のいずれか)

    • /usr/local/bin/
    • /usr/libexec/
    • /usr/bin/
    • /tmp/

  • 備考

    • 上記に記載するマルウェアがすべて同一の攻撃者により設置されたものかは現時点では不明です。

** 更新終了 *******************************************************

V. 悪用状況

2025年12月4日時点で、JPCERT/CCでは悪用に関する情報は確認していませんが、一部の海外セキュリティベンダーから本脆弱性の悪用を試行する通信を確認したとの情報が示されていることを確認しました。

2025年12月5日以降、複数のセキュリティベンダーなどから本脆弱性の悪用事例が報告されています。また、JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。

VI. 関連情報

The React Team
Critical Security Vulnerability in React Server Components
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

CVE
CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-55182

Next.js
Security Advisory: CVE-2025-66478
https://nextjs.org/blog/CVE-2025-66478

関連情報のタイトルの変更および関連情報の追加を実施しました。

Wiz
React2Shell (CVE-2025-55182): Everything You Need to Know About the Critical React Vulnerability
https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

LangGenius
Release v1.10.1-fix.1 · langgenius/dify
https://github.com/langgenius/dify/releases/tag/1.10.1-fix.1

CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。

改訂履歴
2025-12-05 初版
2025-12-10 「I. 概要」「II. 対象」「IV. 侵害検出方法」「V. 悪用状況」「VI. 関連情報」を追記・更新
2026-01-07 「I. 概要」「IV. 侵害検出方法」を更新、改訂履歴の年表記に一部誤りがあり修正

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp

Topへ

コラム&ブログ

おすすめ情報