CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性：セキュリティニュースアラート

ReactおよびNext.jsにCVSS 10.0の脆弱性が見つかった。悪用されると認証不要でリモートコード実行が可能になる。多数のアプリケーションや公開サーバに影響する可能性があり、速やかなバージョン更新が求められている。

[後藤大地，ITmedia]

　OX Securityは2025年12月3日（現地時間）、「React」および「Next.js」に、認証を必要としないリモートコード実行（RCE）の脆弱（ぜいじゃく）性が見つかったと報告した。対象となる環境では攻撃者がサーバで任意のコードを実行できる可能性があり、多数のアプリケーションが影響を受ける恐れがある。

CVSSは「10.0」　ReactとNext.jsにリモートコード実行の脆弱性

　Reactは、Metaが開発したUI構築用のJavaScriptライブラリーだ。累計ダウンロード数は約19億7000万回に達するとされる。Next.jsは、Reactを基盤としてサーバサイド処理やルーティング機能を提供するWebアプリケーションフレームワークとして知られる。OX Securityによると、ReactやNext.jsは全世界で1000万以上の稼働中のWebサイトを支えており、「Instagram」「Netflix」「Airbnb」など大規模な利用者数を持つサービスでも利用実績があるという。

　脆弱性はReactではCVE-2025-55182、Next.jsではCVE-2025-66478として割り当てられている。中核となる問題はReact側に存在し、Next.jsの問題は脆弱なReactのバージョンを内部で利用していたことに起因するものと説明されている。攻撃は事前の認証や有効なセッションを必要とせず、成立した場合、サーバで特権的なJavaScriptコードが実行可能になる。共通脆弱性評価システム（CVSS）v3.1についてはCVE-2025-55182のみスコア評価「10.0」、深刻度「緊急」（Critical）と割り当てられている。CVE-2025-66478についてはCVE-2025-55182と重複しているため、CVSSは付与されていない。

　影響範囲についてOX Securityは、未修正のReactやNext.js、もしくは脆弱なReactコンポーネントを内部で利用するパッケージを稼働させているサーバが対象になると指摘している。同社の調査によると、Reactコンポーネントを利用する公開サーバが57万台以上、Next.jsを利用するものが44万台以上存在するとしている。各サーバの正確なバージョンまでは特定されていないが、脆弱な範囲に該当するものが一部に含まれるだけでも、影響規模は大きいと分析している。

　脆弱性の技術的背景として、Reactの「Server Components」機能が挙げられている。この機能はサーバ側でコンポーネントを実行し、その結果をクライアントに送信する仕組みで、「React Flight」と呼ばれるプロトコルでデータの直列化や通信をする。クライアントからサーバに返信データを送る処理におけるデシリアライズ工程に問題があり、モジュール参照時の検証が不十分だったため、攻撃者がサーバ側のモジュール解決に介入できたという。修正版ではプロパティの所有確認や参照検証が強化され、不正なペイロード処理を停止する防御策が導入されている。

　影響を受けるバージョンは、Reactが19.0、19.1、19.2とされ、それぞれ19.0.1、19.1.2、19.2.1で修正されている。Next.jsは14.3.0-canary、15系、16系が対象とされ、修正版として14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7が公開されている。

　OX Securityは運用者に対し、使用中のReactやNext.jsのバージョン確認と速やかな更新を呼びかけている。特にインターネットに公開され、機密情報や利用者データを扱うシステムでは早急な対応が求められるとしている。