TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > 脆弱性: CVE-2025-55182 / React2Shell > 深刻な「React」脆弱性、米当局が悪用に注意呼びかけ

深刻な「React」脆弱性、米当局が悪用に注意呼びかけ

脆弱性: CVE-2025-55182 / React2Shell アプリ: React 悪用が確認された脆弱性カタログ(KEV)

【要点】

◎Reactの重大脆弱性CVE-2025-55182がKEV入りし、CISAが悪用確認を公表。認証不要でRCE可能で、Next.jsなどにも影響。PoC公開でリスクが高まっており、迅速な更新と調査が必要。


【要約】

米CISAは、React Server Components に存在する深刻なRCE脆弱性「CVE-2025-55182」が実際に悪用されているとして、同脆弱性を既知悪用脆弱性(KEV)カタログに追加し、行政機関へ期限内対応を指示するとともに一般利用者へ注意喚起した。問題は信頼できないデータをデシリアライズする欠陥で、細工したHTTPリクエストにより認証不要でリモートコード実行が可能。影響範囲はNext.js、Waku、Redwood SDKなど一部ランタイムやフレームワークにも波及する。PoCコードも公開済みで悪用リスクが急上昇しており、アプリが明示的にサーバ機能を実装していなくても影響を受け得るため、速やかな更新と影響調査が求められる。


【ニュース】

◆深刻な「React」脆弱性、米当局が悪用に注意呼びかけ (Security NEXT, 2025/12/08)
https://www.security-next.com/178085

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022