React Server Componentsの脆弱性 CVE-2025-55182（React2Shell）についてまとめてみた。

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [React Server Componentsの脆弱性 CVE-2025-55182（React2Shell）についてまとめてみた。](https://piyolog.hatenadiary.jp/entry/2025/12/08/113316)【piyolog】(2025年12月19日) --- > [!NOTE] この記事の要約（箇条書き） - **React Server Componentsの深刻な脆弱性 (CVE-2025-55182 / React2Shell) が公開されました。** - この脆弱性は信頼できないデータのデシリアライズに関するもので、**認証不要のリモートコード実行 (RCE) に繋がり、CVSS基本値10.0（緊急）**と評価されています。 - **特定のReactパッケージ (19.0, 19.1.0, 19.1.1, 19.2.0) やNext.js (14.3.0-canary.77以降, 15系, 16系) などのフレームワークが影響**を受けます。 - RSCをサポートしているシステムは、明示的にRSCを使用していなくても影響を受ける可能性があります。 - **既にPoCが公開され、中国系の脅威アクターによる活発な悪用が観測**されており、CISAはKEVカタログに登録しています。 - **対応策:** 速やかに修正版（`react-server-dom-*` 19.0.1, 19.1.2, 19.2.1; Next.js 15.0.5など）に更新すること。 - **侵害確認の兆候:** `next-action`や`rsc-action-id`ヘッダーを含むHTTP POSTリクエスト、`$@`パターンや`\\"status\\":\\"resolved_model\\"`を含むリクエストボディ、`whoami`や`id`などの予期せぬコマンド実行、不審なファイル書き込みなどが挙げられます。 > [!NOTE] 要約おわり --- 2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 #### どんな脆弱性が確認されたの？ - React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行（RCE）に至る恐れがある。深刻度は緊急（CVSS 基本値 10.0）と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 - React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数存在する。開発元やサービス提供元、保守事業者任せにせず、自組織の環境に影響がないか能動的に確認することが重要。 - すでに、影響を受けるサーバー上のファイルの読書きを目的とするものなど、関連する攻撃活動も確認されており、米国 CISA は 12 月 5 日時点で本脆弱性を KEV カタログに登録している。インターネット上に公開されているシステムが影響対象であった場合、侵害有無の確認も合わせて実施する必要がある。 ##### 脆弱性概要 | CVE | CVE-2025-55182 | | --- | --- | | CVSS(基本値) | 10.0 （Facebook.inc評価） | | CWE | CWE-502（信頼できないデシリアライゼーション） | | 悪用時影響 | リモートコード実行（事前認証不要） | | 悪用状況 | 実証コードの公開、および既に悪用報告あり | - この脆弱性は [Lachlan Davidson氏](https://lachlan.nz/about) が発見し開発チームへ報告したもの。氏はこの脆弱性について [React2Shellと呼称をつけている](https://react2shell.com/) 。 - CVE-2025-66478はNext.jsを対象としたもので、内容としてはCVE-2025-55182と同等となるため、 [同脆弱性との重複としてReject扱いとされている](https://www.cve.org/CVERecord?id=CVE-2025-66478) 。（Lachlan Davidson氏によれば、Next.jsについて個別に採番を行わないと、多くの依存関係ツールが自動的に当該脆弱性を認識しないとコメントしている。） #### 影響を受ける対象は？特定のバージョンのReact パッケージやこれらを使用するフレームワーク、ソフトウェア、システムが影響を受ける可能性がある。なお、システム上でReact Server Components をサポートしていることが条件であって、 **明示的にReact Server Function を使用（実装）しているかにかかわらず** 影響を受ける。また特定の設定に依存せず、デフォルトの設定で構築された環境（create-next-appで作成され本番用にビルドされた標準的な Next.jsアプリケーション等）が影響を受ける。 | 対象製品 | 対象バージョン | 修正が行われたバージョン | | --- | --- | --- | | ・ [react-server-dom-webpack](https://www.npmjs.com/package/react-server-dom-webpack) ・ [react-server-dom-parcel](https://www.npmjs.com/package/react-server-dom-parcel) ・ [react-server-dom-turbopack](https://www.npmjs.com/package/react-server-dom-turbopack?activeTab=readme) | 19.0、19.1.0、19.1.1、19.2.0 | 19.0.1、19.1.2、19.2.1 | | Next.js | 14.3.0-canary.77以降、15系、16系 | [15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7、15.6.0-canary.58、16.1.0-canary.12+](https://nextjs.org/blog/CVE-2025-66478) | | [waku](https://www.npmjs.com/package/waku) | 0.27.2以前 | [0.27.3](https://github.com/wakujs/waku/discussions/1823) | | [rwsdk](https://www.npmjs.com/package/rwsdk) (RedwoodSDK) | 1.0.0-beta35以前 | [1.0.0-beta36](https://github.com/redwoodjs/sdk/pull/918) | | [react-router](https://www.npmjs.com/package/react-router) | package.jsonに依存関係のあるunstable RSC API使用時 | 最新版へ更新 | | [Parcel](https://www.npmjs.com/package/@parcel/rsc?activeTab=readme) | N/A | | | [Vite RSC](https://www.npmjs.com/package/@vitejs/plugin-rsc) | N/A | [0.5.3](https://github.com/vitejs/vite-plugin-react/compare/[email protected]@0.5.3) | | Expo | SDK 53系、54系、Canary版 | [[email protected]、[email protected]、[email protected]、[email protected]、[email protected]、[email protected]](https://expo.dev/changelog/mitigating-critical-security-vulnerability-in-react-server-components) | | Dify | N/A | | - アプリ内において、React コードがサーバーを使用していない場合、RCSをサポートするフレームワークやバンドラー、バンドラープラグインを使用していない場合、これらは影響を受けない。 - Next.jsは13系、14系、Pages Routerアプリケーション、Edgeランタイムは影響を受けない。 ![](https://cdn-ak.f.st-hatena.com/images/fotolife/p/piyokango/20251208/20251208100109.png) 影響を受ける可能性のあるホストのマップ（Shadow Server調査） ##### 脆弱性の対応方法 1. 自組織が React Server Componentsまたは影響対象のフレームワークを利用しているか確認する。 2. 速やかに修正版へ更新する。不明な場合は提供元・保守ベンダーへ確認する。 3. 公開システムで対応が遅れた場合、すでに侵害されている可能性を考慮し調査を行う。 4. すぐに更新が困難で第三者アクセスを制限できる場合、一時的なアクセス制限を検討する。 ##### 影響を受けるかどうかの確認方法 - システム内の情報を参照できる場合は、 `npm list` や `npm audit` コマンドを使用して影響対象のパッケージの利用がないかを確認する。 - shodan など検索サービスで、自社 IP が React などのパッケージ利用を示して公開されていないか確認する。 - 影響対象のライブラリの利用があるかをシステム保守を行っているベンダなどへ確認する。 ##### 脆弱性悪用の影響を既に受けているかの確認方法 - この脆弱性に対応したフィルタリングが導入されている場合、このフィルタリングに適合する不審なアクセスが既に発生していないか。 - 詳細なアクセス状況（ログ）を確認できる場合は、以下の侵害の兆候に合致するようなアクセスが生じていないか。 AWSは侵害の兆候を確認する情報として以下を公開している。 **① ネットワーク上の痕跡** - `next-action` または `rsc-action-id` ヘッダーを持つアプリケーションエンドポイントへのHTTP POST リクエスト - `$@` パターンを含むRequest Body - `"status":"resolved_model"` パターンを含むRequest Body **② ホスト上の痕跡** - 偵察で使用されるコマンドの予期せぬ実行（ `whoami`,`id`,`uname` ） - パスワードファイルの読み取り（ `/etc/passwd` ） - 不審なファイルの書き込み（ `/tmp/directory` など、一例としてpwned.txt） - Node.js/React アプリケーションプロセスにより生成された新しいプロセスの有無 #### 悪用に関する動きは？ - 12月3日の脆弱性情報公開後数時間以内に関連する活動が観測されている。AWSは自社の観測情報から、中国系の国家支援関与の脅威アクター（Earth Lamia、Jackpot Panda）が積極的に悪用をし始めていると報告している。また、無差別のスキャン活動も生じており、GreyNoiseは複数のIPアドレスから機械的なスキャンが行われていると報告している。 - 米国CISAは12月5日に既知の悪用が確認されている脆弱性カタログにこの脆弱性を登録した。これは14日以内の対応（修正、緩和策の適用）を米国政府関係機関に求めるもの。 - この脆弱性を実証する方法として、複数のPoCやエクスプロイトコードがインターネット上に出回っている状況である。これら実証手段について当初こそ不完全であったり、疑似的なコードも確認されていたが、 [Rapid7](https://x.com/stephenfewer/status/1996697494525264219) やElasticのリサーチャーにより、脆弱性実証の有効性が確認された実働するコードも公開されている。 - 観測報告のある悪用事例として、機械的なスキャンだけでなく、マニュアルで侵入を試みるケースも報告が出ている。またこれまで報告のあった外部からのコマンド実行としては、システム権限を確認するもの（サーバ上でwhoamiやidを行う）やシステムの改ざん検証（/tmp/pwned.txtというファイルを作成し書き込み権限をテスト）、認証情報の窃取を狙ったもの（/etc/passwdを読み取る）などがある。 - さらに攻撃後に行われる動きとして、サーバー内にあるクラウドサービスの認証情報（AWSのクレデンシャルなど）の窃取やバックドアの展開（Sliverなど）、暗号通貨マイニングマルウェア（XMRig）やボットマルウェアの展開など報告されている。Wizは12月5日以降この脆弱性を原因とする被害事例を少なくとも6件確認している。日本国内においても多数の攻撃を検知しているとしてLACが報告している。 #### 関連タイムライン | 日時 | 出来事 | | --- | --- | | 2025年11月29日 | Lachlan Davidson氏がMeta Bug Bountyを通じて脆弱性情報を報告。 | | 2025年11月30日 | Metaのセキュリティ研究者が情報を確認し、Reactの開発チームと修正対応を開始。 | | 2025年12月1日 | Reactの修正版の開発が完了し、影響を受けるホスティングプロバイダ、オープンソースプロジェクトと協力し修正版の展開を開始。 | | 2025年12月3日 | npmで修正版を公開するとともに、脆弱性情報も公開。 | | 2025年12月4日 | CVE-2025-55182の実証コードに関する情報が出回り始める。 | | 2025年12月5日 | 米国CISAがCVE-2025-55182をKEVに登録。 | #### 参考情報 ##### 公式セキュリティ情報 - 2025年12月3日 [Critical Security Vulnerability in React Server Components](https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components) (The React Team) - 2025年12月3日 [Summary of CVE-2025-55182](https://vercel.com/changelog/cve-2025-55182) （Vercel） ##### 公的機関等の脆弱性情報 - 2025年12月5日 [CISA Adds One Known Exploited Vulnerability to Catalog](https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog) (米国CISA) - 2025年12月5日 [React Server Componentsの脆弱性（CVE-2025-55182）について](https://www.jpcert.or.jp/newsflash/2025120501.html) （JPCERT/CC） - 2025年12月9日 [React Server Componentsにおける脆弱性について（CVE-2025-55182）](https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html) （IPA） ##### セキュリティベンダ等の報告 - 2025年12月3日 [Critical Vulnerabilities in React and Next.js: everything you need to know](https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182) （Wiz） - 2025年12月3日 [Critical Remote Code Execution (RCE) Vulnerabilities in React and Next.js](https://www.endorlabs.com/learn/critical-remote-code-execution-rce-vulnerabilities-in-react-and-next-js) （ENDOR Labs） - 2025年12月3日 [Critical vulnerability in React and Next.js (CVE-2025-55182)](https://www.vulncheck.com/blog/cve-2025-55182-react-nextjs) （Vunlcheck） - 2025年12月3日 [Severe Remote Code Execution Flaw Found in React Server Components](https://www.esentire.com/security-advisories/severe-remote-code-execution-flaw-found-in-react-server-components) （eSENTIRE） - 2025年12月4日 [Imperva Customers Protected Against React Server Components (RSC) Vulnerability](https://www.imperva.com/blog/imperva-customers-protected-against-react-server-components-rsc-vulnerability/) （Thales） - 2025年12月4日 [Critical Security Vulnerability in React Server Components](https://github.com/facebook/react/security/advisories/GHSA-fv66-9v8q-g76r) （GHSA-fv66-9v8q-g76r） - 2025年12月4日 [React Server Components および Next.js における重大な脆弱性](https://unit42.paloaltonetworks.com/ja/cve-2025-55182-react-and-cve-2025-66478-next/) （Unit42） - 2025年12月5日 [Critical React & Next.js RCE Vulnerability (CVE-2025-55182): What You Need to Fix Now](https://www.aikido.dev/blog/react-nextjs-cve-2025-55182-rce) （aikido） - 2025年12月5日 [CVE-2025-55182 – React Server Components RCE via Flight Payload Deserialization](https://www.offsec.com/blog/cve-2025-55182/) （Offisec） - 2025年12月6日 [React Server Components (CVE-2025-55182) RCE findings so far on 2025-12-05. 77664 IPs found vulnerable (based on Assetnote methodology).](https://infosec.exchange/@shadowserver/115672050969855947) (Shadow Server) - 2025年12月8日 [Critical React2Shell Vulnerability Under Active Exploitation by Chinese Threat Actors](https://www.recordedfuture.com/blog/critical-react2shell-vulnerability) （Recorded Future） - 2025年12月9日 [Reactの脆弱性を狙った攻撃の観測](https://www.lac.co.jp/lacwatch/alert/20251209_004572.html) （LAC） - 2025年12月9日 [React Server Componentsの脆弱性（CVE-2025-55182）について](https://www.scutum.jp/information/technical_articles/react_server_components.html) （セキュアスカイ・テクノロジー） ##### クラウドプロバイダの報告 - 2025年12月3日 [CVE-2025-55182: React and Next.js Server Functions Deserialization RCE](https://www.akamai.com/blog/security-research/cve-2025-55182-react-nextjs-server-functions-deserialization-rce) （Akamai） - 2025年12月3日 [Fastly’s Proactive Protection for React2Shell, Critical React RCE CVE-2025-55182 and CVE-2025-66478](https://www.fastly.com/blog/fastlys-proactive-protection-critical-react-rce-cve-2025-55182) （Fastly） - 2025年12月4日 [China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)](https://aws.amazon.com/jp/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/) （AWS Security Blog） - 2025年12月4日 [Responding to CVE-2025-55182: Secure your React and Next.js workloads](https://cloud.google.com/blog/products/identity-security/responding-to-cve-2025-55182/?hl=en) (Google Cloud) - 2025年12月5日 [CDNetworks WAF は、重大な React 脆弱性 CVE-2025-55182 からプロアクティブに保護します。](https://www.cdnetworks.com/ja/blog/cloud-security/react-vulnerability-cve-2025-55182/) - 2025年12月5日 [React2Shellに対するOktaの対応](https://www.okta.com/ja-jp/blog/identity-security/okta-response-to-react2shell/) （Okta） - 2025年12月7日 [【重要】React Server Componentsの緊急性の高い脆弱性(CVE-2025-55182)について](https://vps.xserver.ne.jp/support/news_detail.php?view_id=17166) （Xserver）（日付は公開元のものを記載しているため、現地時間等でずれている可能性があります。） #### 更新履歴 - 2025年12月8日 AM 新規作成 - 2025年12月9日 PM 続報追記 [相場操縦容疑で摘発された国内証券口座の… »](https://piyolog.hatenadiary.jp/entry/2025/12/07/004905)