All Posts
News bits
React2Shellセキュリティ脆弱性
React2Shellセキュリティ脆弱性
React Server Componentsの重大な脆弱性「React2Shell」(CVE-2025-55182)が公開された。CVSSスコアは10.0(Critical)。Next.jsではCVE-2025-66478として識別される。特定の条件下で、細工されたリクエストによりリモートコード実行が可能になる。
Vercelは、CVE発表前にReactチームと協力してWAF(Web Application Firewall)ルールを設計し、既知のエクスプロイトパターンをブロックする保護を全Vercelユーザーに提供。新しいエクスプロイトバリアントの監視を継続し、WAFルールを反復的に更新している。
しかし、WAFルールで全ての攻撃バリアントに対する保護を保証できないため、Vercelでホスティングしている場合であっても、パッチバージョンへのアップグレードが唯一の完全な修正方法である。
影響を受けるバージョン:
- react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopackの19.0, 19.1.0, 19.1.1, 19.2.0
影響を受けるNext.jsバージョン:
- Next.js 15.0.0 through 16.0.6
- Next.js 14 canary versions(14.3.0-canary.76以降)
出展:React2Shell Security Bulletin、Critical Security Vulnerability in React Server Components
著者について
Hi there. I'm hrdtbs, a frontend expert and technical consultant. I started my career in the creative industry over 13 years ago, learning on the job as a 3DCG modeler and game engineer in the indie scene.
In 2015 I began working as a freelance web designer and engineer. I handled everything from design and development to operation and advertising, delivering comprehensive solutions for various clients.
In 2016 I joined Wemotion as CTO, where I built the engineering team from the ground up and led the development of core web and mobile applications for three years.
In 2019 I joined matsuri technologies as a Frontend Expert, and in 2020 I also began serving as a technical manager supporting streamers and content creators.
I'm so grateful to be working in this field, doing something that brings me so much joy. Thanks for stopping by.