CVE-2025-55182:React/Next.js のクリティカル脆弱性が発覚——即時アップデートが必須です

この記事の内容について、業務や開発でお困りの場合は個別に対応できます。
ZIDOOKA!

各社が「CVE-2025-55182」関連の警告メールを出してますね。

CVE-2025-55182(通称:React2Shell) は、React の Server Components(RSC)で使用される Flight プロトコルが意図せず実行可能な形で処理され、攻撃者がリクエスト一つでサーバー側コードを実行できてしまうという重大な問題です。

■ 何が問題なのか

今回の脆弱性は 認証不要(pre-auth) で悪用可能、そして CVSS 10.0 という最大深刻度 がついています。
RSC を採用している環境では、Server Functions を使っていなくても攻撃対象になり得るため、Next.js を使った一般的なアプリケーションも例外ではありません。

攻撃成功率が非常に高いとする報告もあり、外部からの HTTP リクエストを受け付ける公開アプリケーションの場合、即座に対応しないと危険です。

■ 対象となるバージョンと環境

影響を受けるのは、以下のいずれかに該当する場合です。

  • React 19 系(特に 19.0.0〜19.2.0)を使用
  • react-server-dom-webpack / react-server-dom-parcel など RSC 関連パッケージが依存に含まれる
  • Next.js、React Router、Vite RSC、Parcel RSC など RSC サポート環境
  • クラウド上やインターネット公開環境で稼働しているアプリ

私が確認した案件では Next.js のデフォルト構成でも RSC が有効化されていたため、「使っていないつもりでも対象になる」点は強調したいところです。

■ 今すぐ行うべき対応

最も確実な対策は パッチ適用済みの React/Next.js にアップデートすること です。

▼ React

  • 19.0.1
  • 19.1.2
  • 19.2.1
    など、修正が含まれるバージョンへ更新します。

▼ Next.js

  • セキュリティパッチ適用版へ更新(例:15 系の修正版など)

▼ 応急処置

すぐにアップデートできない場合は以下を併用します。

  • WAF(Web Application Firewall)で RSC への不正リクエストをブロック
  • CDN レベルでのレイヤー7フィルター
  • サーバーアクセスログの監視強化

ただし、抜本的な対策になるのは アップデートのみ です。

■ なぜ急ぐ必要があるのか

脆弱性公開後すぐに PoC が出回り、複数の脅威グループが悪用を開始したとの報告が出ています。
また、クラウド環境の 30〜40%が影響を受ける構成だったという調査結果もあり、意図せず公開状態になっているサービスは特に危険です。

■ まとめ

今回の CVE-2025-55182 は、React/Next.js を扱う開発者にとって 見過ごしてはいけないレベルのインシデント です。
特に Next.js の標準テンプレートを使って構築している場合、RSC が裏で有効化されているケースが多いため、必ずプロジェクトの依存関係とバージョンを確認し、早急にアップデートを適用することを推奨します。

【参考URL】

  1. Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution
    https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html
  2. Critical React & Next.js RCE Vulnerability (CVE-2025-55182): What You Need to Fix Now
    https://www.aikido.dev/blog/react-nextjs-cve-2025-55182-rce
  3. China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)
    https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/
  4. CVE-2025-55182 Opportunistic Exploitation Observation Report
    https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far
  5. Critical Vulnerabilities in React Server Components and Next.js
    https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/
  6. Max-severity vulnerability in React, Node.js patched (CVE-2025-55182)
    https://www.helpnetsecurity.com/2025/12/04/react-node-js-vulnerability-cve-2025-55182/
  7. Developers scramble as critical React flaw threatens major apps
    https://cyberscoop.com/react-server-vulnerability-critical-severity-security-update/
  8. Everything about Critical Vulnerability in React RSC
    https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182

ZIDOOKA!

この記事の内容について、対応できます

この記事に関連する技術トラブルや開発上の問題について個別対応を行っています。

個別対応は3,000円〜 内容・工数により事前にお見積りします
この記事について相談する メールで相談する
最後までお読みいただきありがとうございました
次に読まれている関連記事
【副業ブログ】大量投稿した記事はいつアクセスを生むのか?僕の経験とSEOの仕組みから解説します

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

AI活用に関するポリシー

当サイトでは、記事の執筆補助にAIを活用する場合がありますが、全面的な委任は行いません。