I. 概要
2025年12月3日(現地時間)、React Server Componentsにおける認証不要のリモート コード実行の脆弱性(CVE-2025-55182)が公開されました。攻撃者が細工したHTTPリクエスト(HTTP経由の不正なFlightペイロード)をReact Server Components(RSC) を処理するサーバーに送信することで、認証不要のリモートコード実行につながる可能性が あります。
なお、JPCERT/CCでは有効な概念実証(PoC)コードの公開を確認しました。 今後本脆弱性が悪用される可能性が高まっていると考えられます。
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を 確認の上、対策の実施を検討してください。
II. 対象
(React)
次のパッケージのバージョン19.0、19.1.0、19.1.1、19.2.0が本脆弱性の影響を受けます。
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
なお、React Server Functionエンドポイントを実装していなくても、 React Server Componentsをサポートしている場合、本脆弱性の影響を受ける可能性があります。
また、次の場合は本脆弱性の影響を受けません。
- アプリ内のReactコードがサーバーを使用していない場合
- アプリがReact Server Componentsをサポートするフレームワーク、バンドラー、 またはバンドラープラグインを使用していない場合
(上記に関連するフレームワークなど)
Next.jsのような一部のReactフレームワークおよびバンドラーについても、本脆弱性の影響を
受けるReactパッケージに依存するなどの理由から、本脆弱性の影響を受けます。
Reactの開発チームによると、次のReactフレームワークおよびバンドラーが影響を受ける 可能性があるとのことです。
- next
- react-router
- waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk
(Next.js)
次に該当するバージョンが本脆弱性の影響を受けます。
- Next.js 16.x
- Next.js 15.x
- Next.js 14.3.0-canary.77以降のcanaryリリース
なお、次の場合は本脆弱性の影響を受けません。
- Next.js 14.x stable
- Next.js 13.x
- Pages Routerアプリケーション
- Edge Runtime
III. 対策
開発者が公開する情報を確認の上、修正済みのバージョンへの更新を検討してください。
IV. 悪用状況
2025年12月4日時点で、JPCERT/CCでは悪用に関する情報は確認していませんが、一部の海外 セキュリティベンダーから本脆弱性の悪用を試行する通信を確認したとの情報が示されている ことを確認しました。
V. 関連情報
The React Team
Critical Security Vulnerability in React Server Components
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
CVE
CVE-2025-55182
https://www.cve.org/CVERecord?id=CVE-2025-55182
Next.js
Security Advisory: CVE-2025-66478
https://nextjs.org/blog/CVE-2025-66478
Wiz
Critical Vulnerabilities in React and Next.js: everything you need to know
https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
