React/Next.js の脆弱性 CVE-2025-55182/66478 が FIX:1件の HTTP リクエストで RCE

Critical React and Next.js Flaw Lets Remote Attackers Run Malicious Code

2025/12/04 gbhackers — React Server Components に存在する深刻なセキュリティ脆弱性を悪用する未認証の攻撃者は、この人気の Web フレームワークを実行するサーバ上での、悪意のコード実行の可能性を得る。この脆弱性は、React では CVE-2025-55182、Next.js では CVE-2025-66478 として追跡され、CVSS 値は 10.0 と評価されている。なお、この脆弱性が影響を及ぼす範囲は、開発者による設定変更が行われていない、デフォルト・コンフィグレーションの環境となる。

脆弱性の概要

このリモート・コード実行 (RCE) 脆弱性は、React Server Components (RSC) の Flight Protocol における、安全でないデシリアライゼーションに起因する。

したがって、不正な RSC ペイロードを含む特別に細工された HTTP リクエストを、対象となるサーバが処理する際に、データ構造を適切に検証できていないという状況にある。

その結果として、攻撃者が制御する情報により、サーバ側の実行ロジックに影響が生じ、任意の JavaScript が実行される可能性がある。

CVE IDProductCVSS ScoreSeverity
CVE-2025-55182React Server Components10.0critical
CVE-2025-66478Next.js App Router10.0critical

この脆弱性が影響を及ぼす範囲は、React Server 仕様を実装するあらゆるフレームワークまたはライブラリであり、具体的には Vite RSC プラグイン/Parcel RSC プラグイン/React Router RSC プレビュー/Redwood SDK/Waku などである。

Wiz Research のデータによると、クラウド環境の 39% に脆弱な React/Next.js インスタンスが含まれている。

Next.js はクラウド環境の 69% に存在し、そのうちの 61% でパブリックなアプリケーションが稼働している。つまり、クラウド環境全体の 44% で公開されている Next.js インスタンスが、危険に晒されるという計算になる。

攻撃ベクターとして必要なのは、Server Function エンドポイントへ向けた、細工された1件の HTTP リクエストのみである。この脆弱性を悪用するテストで確認されたのは、ほぼ 100% の確率で侵害が成功する状況であり、認証や複雑な前提条件を必要としない、きわめて効率の高い攻撃が可能になる。

React Server Functions は、クライアントがサーバ・サイドの関数を呼び出すものであり、React は、Next.js を介して HTTP リクエストと関数呼び出しの間の変換を処理するものだ。

このデシリアライゼーション脆弱性は、これらのリクエストを React が処理する際に発生し、正規の関数が実行される前に、悪意のペイロードによるリモート・コード実行 (RCE) にいたる可能性がある。

開発者にとって必要なことは、パッチ適用済みバージョンへの速やかなアップグレードである。この脆弱性は、Meta の Bug Bounty プログラムを通じて、11月29日に Lachlan Davidson が報告したものだ。

その後の、ホスティング・プロバイダーとの調整および、一時的な緩和策の実施を経て、12月3日に npm 上で修正プログラムが公開された。

Next.js の各アップグレード・バージョンは以下の通りである:

15.0.x:npm install next@15.0.5
15.1.x:npm install next@15.1.9
15.2.x:npm install next@15.2.6
15.3.x:npm install next@15.3.6
15.4.x:npm install next@15.4.8
15.5.x:npm install next@15.5.7
16.0.x:npm install next@16.0.7

すべての影響を受けるフレームワークに対して、最新の React Server DOM パッケージへのアップグレードが必要となる。ただし、React Server Component またはサーバ・サイド React コードを使用していないアプリケーションが、この脆弱性の影響を受けないことに注意すべきだ。

ホスティング・プロバイダーでは一時的な緩和策が実装されているが、パッチ適用に代わるだけの効果はない。

開発コミュニティ全体に修正が展開される中で、React チームはエコシステムと連携し続け、包括的な保護を確保する方針である。

React Server Components の脆弱性は、RSC が受け取るデータを適切に確認しない状況で処理することに起因します。そのため、細工されたリクエストが送られると、本来の関数が動く前にサーバ側で不正なコードが実行される可能性が生じます。特に、デフォルト・コンフィグの環境で影響が大きく、Next.js を含む多くのフレームワークが対象となっています。ご利用のチームは、ご注意ください。よろしければ、Next.js での検索結果も、ご参照ください。