TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: React > Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution

Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution

アプリ: React CVE-2025-55182 / React2Shell

【訳】

ReactおよびNext.jsにおける重大なRSC脆弱性により、認証不要のリモートコード実行が可能に


【要点】

◎React RSC に未認証RCEとなるCVE-2025-55182が発生。Next.jsも影響し、細工リクエストのみで任意コード実行が可能。パッチ適用が必須で、WAF各社は防御ルールを展開済み。

【図表】


出典: https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html


【要約】

React Server Components(RSC)に、未認証でリモートコード実行が可能となる深刻な脆弱性「CVE-2025-55182」(通称 React2shell、CVSS 10.0)が発見された。RSCペイロードのデシリアライズ処理が不適切で、攻撃者が細工したHTTPリクエストを送るだけで任意のJavaScriptをサーバ側で実行できる。React Server Function を使っていなくても RSC を有効化していれば影響を受ける。影響範囲は react-server-dom-* の19.0~19.2系(修正版は19.0.1/19.1.2/19.2.1)、Next.js App Router 14.3.0-canary.77 以降も対象で、パッチは ver.16.0.7 等で提供済み。Vite/Parcel/RedwoodJS など RSC 組み込みライブラリも影響。WAF各社(Cloudflare/AWS/Akamai/Fastly)が対策ルールを展開しており、パッチ適用が最優先。Wiz によればクラウド環境の39%が影響を受ける恐れがある。


【ニュース】

◆Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution (The Hacker News, 2025/12/03)
[ReactおよびNext.jsにおける重大なRSC脆弱性により、認証不要のリモートコード実行が可能に]
https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022