PoC Exploit Released for Critical React, Next.js RCE Vulnerability (CVE-2025-55182)
2025/12/05 CyberSecurityNews — React Server Components に存在するリモート・コード実行 (RCE) 脆弱性 React2Shell に対する概念実証 (PoC) エクスプロイトが公開された。この脆弱性 CVE-2025-55182 は CVSS:10.0 と評価されており、世界中の開発者に警戒が高まっている。この脆弱性が影響を及ぼす範囲は、React のバージョン 19.0.0~19.2.0、および、App Router を使用する Next.js 15.x/16.x となる。サーバ機能を明示的に実装していないアプリケーションであっても、React Server Components (RSC) を使用している場合には影響を受ける可能性がある。
セキュリティ研究者 @maple3142 は X での投稿で、Node.js ペイロードを挿入する単純なマルチパート HTTP リクエストの、デモ・エクスプロイトを実演した。このデモは子プロセスを起動し、認証を必要とせずにターゲット・サーバ上で Linux の電卓を起動する。
公開された動画では、curl コマンドを用いて React の Flight プロトコルを介して脆弱性を悪用し、$B1337 というラベル付き Blob 参照などにより、シリアライズに関する安全機構を回避する様子が示されている。JavaScript の実行制限 (JS jail) を題材とした CTF スタイルのチャレンジとしてまとめられた公開 gist はコミュニティの注目を集め、回避手法に関する質問も寄せられた。
根本的な原因は、RSC Flight プロトコルにおける安全でないデシリアライゼーションにある。それにより、オブジェクトのプロトタイプが不正ペイロードで汚染され、サーバ側での実行が乗っ取られる。
この問題は Lachlan Davidson により発見され、11月29日には Meta と Vercel に適切に開示され、12月3日に公表された。また、CVE-2025-55182 に対応する脆弱なネットワーク上のエンドポイントを特定するための、新たなスキャナ・ツールも提供されている。
Amazon の脅威インテリジェンスが、公表から数時間のうちに報告したのは、Earth Lamia などの中国由来のグループによるエクスプロイト試行である。Wiz Research の推定では、クラウド環境の約 39% が脆弱なインスタンスをホストしており、968,000 台以上のサーバが影響を受ける状況にあるという。
Palo Alto Networks の Unit 42 など複数の調査チームは、この攻撃において必要なものは RSC エンドポイントへの細工された POST リクエストだけだと指摘し、テストにおいて 100% 近い成功率が確認されたと報告している。
React の公式アドバイザリが警告するのは、数多くの一般的なフレームワークのデフォルト設定で、この脆弱性が残存する点であり、即時アップグレードが強く推奨されている。したがって、開発者にとって必要なことは、デプロイメント構成の監査/React 19.2.1 以降へのアップデート/Next.js の更新に加えて、異常アクセスやログの監視を速やかに実施することである。
現時点において、大規模な侵害に関する報告は限られているが、すでに PoC が公開された上に、自動スキャン/悪用ツールが提供され、本番環境におけるリスクが著しく高まっている。このインシデントが改めて浮き彫りにするのは、最新の JavaScript スタックを採用するサーバ・サイド・レンダリング環境の危険性である。
React Server Components における脆弱性は、安全でないデシリアライゼーションが原因であり、細工されたリクエストによりサーバ側の処理が乗っ取られてしまうものです。特に、開発者がサーバ機能を明示的に実装していなくても影響を受けることがあり、見落としやすい点が懸念されています。PoC の公開により悪用が容易になっているため、早めのアップデートや設定確認が重要になると、この記事は指摘しています。よろしければ、React2Shell での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.