React Server Componentsにおける脆弱性について（CVE-2025-55182）情報セキュリティ

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [React Server Componentsにおける脆弱性について（CVE-2025-55182） | 情報セキュリティ](https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html)【IPA】(2025年12月12日) --- > [!NOTE] この記事の要約（箇条書き） - **概要**: JavaScriptライブラリ「React」のサーバ機能であるReact Server Componentsに、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）が確認されています。 - **影響**: 遠隔の攻撃者によって任意のコードが実行されるおそれがあり、「Next.js」など他製品も同様の影響を受けます。 - **更新情報**: 2025年12月10日、国内で本脆弱性を悪用したと思われる攻撃が発生しているとの情報があり、早急な対策が呼びかけられています。 - **対象製品**: react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackのバージョン19.0, 19.1.0, 19.1.1, 19.2.0が影響を受けます。 - **対策**: 各コンポーネントの修正済み最新版（例: react-server-dom-webpack 19.0.1, 19.1.2, 19.2.1）へアップデートしてください。 > [!NOTE] 要約おわり --- 情報セキュリティ ![](https://www.ipa.go.jp/common/img/security/security_mv_sp.png) ## React Server Componentsにおける脆弱性について（CVE-2025-55182）公開日：2025年12月9日最終更新日：2025年12月10日注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。 ## 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）が確認されています。本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。なお、「Next.js」など他製品において、同様の影響を受けます。 **\--- 2025年 12 月 10 日更新 ---** **本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。** 今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。 ## 影響を受けるシステム - react-server-dom-webpack 19.0 - react-server-dom-webpack 19.1.0 - react-server-dom-webpack 19.1.1 - react-server-dom-webpack 19.2.0 - react-server-dom-parcel 19.0 - react-server-dom-parcel 19.1.0 - react-server-dom-parcel 19.1.1 - react-server-dom-parcel 19.2.0 - react-server-dom-turbopack 19.0 - react-server-dom-turbopack 19.1.0 - react-server-dom-turbopack 19.1.1 - react-server-dom-turbopack 19.2.0 ## 対策 ### 1.脆弱性の解消 - 修正プログラムの適用開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。 - react-server-dom-webpack 19.0.1 - react-server-dom-webpack 19.1.2 - react-server-dom-webpack 19.2.1 - react-server-dom-parcel 19.0.1 - react-server-dom-parcel 19.1.2 - react-server-dom-parcel 19.2.1 - react-server-dom-turbopack 19.0.1 - react-server-dom-turbopack 19.1.2 - react-server-dom-turbopack 19.2.1 ## 参考情報 - [Critical Security Vulnerability in React Server Components 別ウィンドウで開く](https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components) - [RCE in React Server Components 別ウィンドウで開く](https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp) ## お問い合わせ先 IPA セキュリティセンター - E-mail 注釈：個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。 ## 更新履歴 - 「概要」の内容を更新 - 掲載