TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: React > 「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を

「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を

アプリ: React CVE-2025-55184 CVE-2025-67779 CVE-2025-55183

【要点】

◎React Server ComponentsにDoSやソースコード漏洩など新たな脆弱性3件が判明。うち2件はHigh評価で追加修正が必要となった。Server Function未使用でも影響の恐れがあり、19.2.3など最新版への即時更新と継続的な警戒が求められる。


【要約】

JavaScriptライブラリ「React」の Server Components において、新たに3件の脆弱性(CVE-2025-55184、CVE-2025-67779、CVE-2025-55183)が確認され、開発チームは追加修正を実施した。CVE-2025-55184 は細工されたHTTPリクエストにより無限ループが発生し、CPU枯渇によるサービス拒否を引き起こす脆弱性で、修正不十分だったため追加対応として CVE-2025-67779 が採番された。両者のCVSSは7.5(High)。一方、CVE-2025-55183 は Server Function 経由でソースコードが漏洩するおそれがあり、CVSSは5.3(Medium)。いずれも Server Function を明示的に使っていなくても影響を受ける可能性がある。これらは React 19.0.2/19.1.3/19.2.2 以降および、最終的に 19.0.3/19.1.4/19.2.3 で修正されており、開発チームは重大脆弱性後は追加発見が続く傾向があるとして、最新版への迅速な更新と継続的な情報確認を強く呼びかけている。


【ニュース】

◆「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を (Security NEXT, 2025/12/12)
https://www.security-next.com/178382/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022