Reactの重大脆弱性「React2Shell」悪用拡大 215万件に影響の可能性：セキュリティニュースアラート

Reactの深刻な脆弱性「CVE-2025-55182」により、RSCを利用する公開サービス215万件超が影響を受ける可能性が判明した。国家支援とされる脅威グループによる悪用も観測され、早期対策が求められている。

[後藤大地，ITmedia]

　Censysは2025年12月5日（現地時間）、「React」に存在する深刻な脆弱（ぜいじゃく）性（CVE-2025-55182、別名「React2Shell」に関する観測結果を公表した。

　インターネットでReact Server Components（以下RSC）コードを利用する公開サービスのうち、215万件超が影響を受ける可能性があると述べている。ここでの件数は露出状況を基準とした推定値であり、バージョン判定を伴う精査ではないが、規模として無視できない状況が示されている。

CVSS 10.0のReact脆弱性、中国系グループの悪用も確認

　React2Shellは、RSCで利用される「Flight」プロトコルに存在する安全でないデシリアライズ処理が原因で発生する問題で、認証を要さずに任意コード実行を許す脆弱性とされている。「React」の複数パッケージ（react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack）の19系に欠陥があり、Next.js、React Router RSC preview、Waku、Parcel RSC Plugin、Vite RSC Plugin、RedwoodSDKなど、該当パッケージを内包するツール類にも影響がおよんでいる。

　AWS Security Blogでは中国国家支援とされる複数の脅威グループが悪用を開始した事例が示されている。ラテンアメリカや中東、東南アジアの組織を標的にする「Earth Lamia」や主に東アジアおよび東南アジアの組織を標的とする「Jackpot Panda」による関連インフラからのエクスプロイト活動がAWSのMadPot観測網で確認されている。

　これら既知のグループに加え、同地域から特定に至っていない多くの脅威グループによる活動も観測されている。これらの脅威グループは自動スキャンツールやGitHubに公開されているPoC（概念実証）エクスプロイトの両方を利用していたとしている。

　Censysの分析ではRSCを利用する環境は広く普及しており、インターネット公開サーバは更新完了まで危険性を抱える可能性があると指摘している。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はCVE-2025-55182を「既知の悪用された脆弱性（KEV）」に追加しており、対策未実施の環境へのサイバー攻撃を警告している。

　React2Shellは既に修正済みバージョンが公開されているが、実環境では悪用が確認されている。ユーザーは使用中のバージョンを確認し、速やかにパッチを適用することが強く求められる。