編集

React2Shellセキュリティ脆弱性

#React #Security #Next.js #Vercel

React Server Componentsの重大な脆弱性「React2Shell」(CVE-2025-55182)が公開された。CVSSスコアは10.0(Critical)。Next.jsではCVE-2025-66478として識別される。特定の条件下で、細工されたリクエストによりリモートコード実行が可能になる。

Vercelは、CVE発表前にReactチームと協力してWAF(Web Application Firewall)ルールを設計し、既知のエクスプロイトパターンをブロックする保護を全Vercelユーザーに提供。新しいエクスプロイトバリアントの監視を継続し、WAFルールを反復的に更新している。

しかし、WAFルールで全ての攻撃バリアントに対する保護を保証できないため、Vercelでホスティングしている場合であっても、パッチバージョンへのアップグレードが唯一の完全な修正方法である。

影響を受けるバージョン:

  • react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopackの19.0, 19.1.0, 19.1.1, 19.2.0

影響を受けるNext.jsバージョン:

  • Next.js 15.0.0 through 16.0.6
  • Next.js 14 canary versions(14.3.0-canary.76以降)

出展:React2Shell Security BulletinCritical Security Vulnerability in React Server Components

編集