TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: React > JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を

JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を

アプリ: React CVE-2025-55182 / React2Shell

【要点】

◎ReactのServer Componentsに、認証不要でRCEが可能な致命的脆弱性が判明し、影響環境では直ちに修正版へ更新する必要がある。 (Security NEXT)


【要約】

JavaScriptライブラリReactのServer Componentsに、信頼できないデータのデシリアライズ処理に起因する深刻な脆弱性CVE-2025-55182が確認された。細工したHTTPリクエストを処理するだけで、認証不要のリモートコード実行が可能となり、CVSSv3.1は最高値の10.0と評価されている。Server関数を利用していない場合でも、React Server Componentsを導入していれば影響を受ける。開発チームは19.2.1、19.1.2、19.0.1で修正を提供しており、Next.jsなど関連フレームワークを含め、依存関係の確認と早急なアップデートが強く求められている。


【ニュース】

◆JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を (Security NEXT, 2025/12/04)
https://www.security-next.com/177961

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022