New Scanner Released to Detect Exposed ReactJS and Next.js RSC Endpoints (CVE-2025-55182)
2025/12/04 gbhackers — 最新の Web アプリケーションに存在する、脆弱な React Server Component (RSC) エンドポイントを特定するための専用スキャンツールを、セキュリティ研究者たちがリリースした。このツールは、脆弱性 CVE-2025-55182 の検出における深刻なギャップを解消するものだ。新たに提供された Python ベースのスキャナーは、洗練されたサーフェス検出手法を導入することで、ユーザー組織における脆弱性 CVE-2025-55182 の評価方法を変革する。
従来のペイロード・インジェクションに依存するエクスプロイト・ツールとは異なり、この軽量スキャナーは、対象サーバにおける RSC エンドポイントの公開と、Next.js のアクション・ヘッダーに対する応答を検証するものだ。
新しい検出アプローチ
脆弱性 CVE-2025-55182 が影響を及ぼす範囲は、React 19 および Next.js アプリケーションであり、それらの環境の公開された RSC エンドポイントを介して、リモート・コード実行の脅威にさらされる可能性がある。
しかし、これまでの検出方法では誤検出が発生するため、セキュリティ・チームは脆弱性の状況を判断するのに苦労している。従来の脆弱性スキャン・アプローチには、本番環境において大きな制限がある。
最も積極的な概念実証ツールは、vm#runInThisContext などの特定のペイロードへの依存や、”id” : “vm” などのデフォルトのモジュール識別子への対応が前提となる。これらの前提は、実際の導入において問題となる。
Webpack または Turbopack を使用して本番環境で構築されたアプリケーションでは、モジュール識別子を整数 (例: 742) に縮小するか、ツリー・シェイキングにより完全に削除するのが一般的である。
セキュリティ・チームが、本番環境ビルドに対して標準的な RCE ペイロードを展開しても、エクスプロイトの失敗を検知できないため、セキュリティには問題がないという誤認が生じる。
サーフェス検出
Fatguru によると、この新しいスキャナーは、エクスプロイトに重点を置いたアプローチを放棄し、サーフェス検出を採用している。
このツールは、ターゲット・サーバ上で任意のコード実行を試行するのではなく、サーバが RSC プロトコル・リクエストを受け入れ、Next.js アクション・ヘッダーを適切に処理するかどうかを体系的に検証する。
この手法は、特定のコード・ガジェットのエクスプロイト可能性を確認するのではなく、エクスプロイト可能なサーフェス自体を検出する。
セキュリティ研究者が強調するのは、公開されているエンドポイントを特定することは単なる第一歩に過ぎないという点だ。つまり、陽性検出結果を受け取った組織は、自社サーバにおける RSC ペイロードの受け入れと処理を認識できる。
このスキャナーで RSC エンドポイントの露出を確認したセキュリティ・チームにとっては、実際のエクスプロイトを検証する追加調査が必要となる。ただし、特定の形式のペイロードは、縮小されたモジュール識別子のために、本番環境システムでは一貫して失敗する。
そのためユーザー組織は、Webpack モジュール ID を列挙またはファジングし、クライアント側の “webpack-runtime.js” ファイルとチャンク・アセットを分析して、潜在的なガジェットの有効な ID マッピングを抽出する必要がある。その際に、このスキャナーは、分かりやすいコマンドライン機能を提供する。
ユーザーは、”python3 cve_2025_55182_scanner.py -u http://localhost:3000/” を実行して個々のターゲットをスキャンできる。また、ファイル内の複数の URL を一括して処理/評価することも可能である。
このツールにおいては、Python 3 と pip 経由で利用可能な標準的な依存関係が必要となる。
セキュリティ・チームが理解しておくべきは、このツールは公開 RSC エンドポイントを厳密に識別するが、エクスプロイトを実行しないことである。
このツールは検出/認識のメカニズムとして機能し、アプリケーションが処理を必要とする RSC ペイロードを受け入れるかどうかを確認するよう、組織に対して警告する。
脆弱性 CVE-2025-55182 は、セキュリティ・コミュニティ内で引き続き注目を集めている。そして、このスキャナーは脆弱性検出ワークフローにおける不可欠な要素であり、リスクのある React および Next.js アプリケーションを、攻撃者に先行して特定できるようにする。
React/Next.js の脆弱性 CVE-2025-55182 を、正確に検出できない理由が詳しく説明されています。特に本番ビルドでは、モジュール識別子が縮小されることで、さらに大きな問題になっていると本文に記されています。従来のペイロード依存の手法では誤検出が起きやすく、実際の環境に対応できない点が課題として強調されています。この新しいスキャナーは、コード実行を試すのではなく、RSC プロトコルを受け入れるかどうかを確認する仕組みを持ち、現状の検出ギャップを補う役割を果たしていると、この記事は指摘しています。ご利用のチームは、ご確認ください。よろしければ、CVE-2025-55182 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.