React Server Componentsに新たな脆弱性 DoSとソースコード露出の危険：セキュリティニュースアラート

React Teamは、React Server Componentsに関する新たな脆弱性を公表した。DoSやソースコード露出の恐れがあり、影響範囲は複数パッケージに及ぶ。対象環境の確認と迅速な対応が利用者に求められている。

[後藤大地，ITmedia]

　The React Teamは2025年12月11日（現地時間）、「React Server Components」（RSC）に関する新たな脆弱（ぜいじゃく）性を公表した。先週公開された重大な脆弱性「CVE-2025-55182」（React2Shell）への修正内容を検証する過程で発見された追加の問題とされる。

Reactが新たな3件のCVEを公表、利用者は即時更新を

　公表された脆弱性は次の通りだ。

• CVE-2025-55184およびCVE-2025-67779：　DoS攻撃の脆弱性。「Server Function」のエンドポイントに細工されたHTTPリクエストが送信され、Reactによるデシリアライズ処理の過程で無限ループが発生する点に起因する。「React Server Function」のエンドポイントを明示的に実装していない場合でも、React Server Componentsをサポートしている構成であれば影響を受ける可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアはいずれも7.5と評価されている
• CVE-2025-55183：　ソースコード露出の脆弱性。特定のServer Functionに対し不正なHTTPリクエストが送信された場合に、Server Functionのソースコードが返却される可能性がある。攻撃が成立するには引数が明示的または暗黙的に文字列化されるServer Functionが存在する必要がある。CVSSv3.1のスコアは5.3と評価されている

　これらの脆弱性は、以前公表されたReact2Shellと同一のパッケージおよびバージョン範囲に存在している。対象となるパッケージは以下の通りだ。

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

　影響を受けるバージョンは以下の通りだ。

• 19.0.0
• 19.0.1
• 19.0.2
• 19.1.0
• 19.1.1
• 19.1.2
• 19.2.0
• 19.2.1
• 19.2.2

　修正済みのバージョンは以下の通りだ。

• 19.0.3
• 19.1.4
• 19.2.3

　The React Teamは、該当するパッケージを利用している場合、修正済みバージョンへの即時更新を求めている。

　利用環境に関する補足説明も示され、アプリケーションのReactコードがサーバを使用しない構成の場合、今回の脆弱性の影響は受けない。React Server Componentsを支援するフレームワークやバンドラー、もしくはプラグインを使用していない構成についても同様とされる。影響を受ける可能性があるものとして「Next」「react-router」「waku」「@parcel/rsc」「@vite/rsc-plugin」「rwsdk」が挙がっている。

　ホスティング事業者による暫定的な緩和策についても言及されているが、The React Teamはこれに依存せず、利用者自身が更新を実施する必要がある。React Nativeの利用者については、モノレポ構成やreact-domを使用しない場合、package.jsonでReactのバージョンが固定されていれば追加の対応は不要と説明されている。

　モノレポ構成でReact Nativeを利用している場合は、影響を受けるreact-server-dom関連パッケージのみを更新すればよいとされており、React本体やreact-domの更新は求められていない。

　The React Teamは、今回公表された脆弱性の深刻度を踏まえ、影響を受ける環境を運用する利用者に対し、修正済みバージョンへの更新を速やかに実施するよう呼びかけている。