2.15M Next.js Web Services Exposed Online, Active Attacks Reported – Update Immediately
2025/12/06 gbhackers — React の深刻な脆弱性 CVE-2025-55182 (通称 “React2Shell”) の公表を受け、世界中のセキュリティ・チームがシステムへのパッチ適用を急いでいる。この欠陥は React Server Components (RSC) に影響を及ぼし、CVSS スコアは最高評価の 10.0 に達しており、深刻な影響と悪用されやすさを示している。
Censys のテレメトリーデータによると、影響を受ける可能性のある技術を稼働させている、インターネット上の公開サービスは 215 万件以上も存在するという。そこに含まれるのは、Next.js/Waku/React Router RSC/Vite RSC/Parcel RSC/Redwood SDK などで構築されたアプリケーションである。
これらの、すべてのインスタンスが脆弱だと確認されているわけではないが、公開されているフットプリントは膨大であり、すでに積極的な悪用が始まっている。
CVE-2025-55182 (React2Shell) の脆弱性
このバグは、Server Function エンドポイントに送信されるデータを、React Server Components および関連パッケージが処理する方法に起因する。React のサーバ側パッケージ (react-server-dom-webpack/react-server-dom-parcel/react-server-dom-turbopack) は、JSON ペイロードに対して安全でないデシリアライズ処理を行う。したがって、認証されていない攻撃者であっても、脆弱なエンドポイントに特別に細工した HTTP リクエストを送信し、サーバ上で任意の JavaScript を実行できる。
それが意味するのは、ログインを必要としないサーバ上での、完全なリモート・コード実行 (RCE) パスである。Server Function を明示的に使用していないアプリケーションであっても、サーバ側で RSC をサポートしていれば脆弱になる可能性があると、React は認めている。その一方で、RSC または RSC 対応フレームワークを使用しない、純粋なクライアント・サイドの React アプリは影響を受けない。
すでに実際の攻撃が確認されており、この状況は理論上の問題ではない。AWS セキュリティ・チームが確認したのは、情報の公開から 24 時間以内に発生した、中国関連の脅威アクターによる React2Shell の悪用である。Earth Lamia や Jackpot Panda といったグループが、この脆弱性を初期アクセス手段として悪用し、Web シェル/バックドア/追加ツールを展開している。
CISA は CVE-2025-55182 を Known Exploited Vulnerabilities (KEV) カタログに追加し、この脆弱性が実際の攻撃で積極的に利用されていることを確認した。連邦政府機関と民間セクターのネットワークで、優先的に対処されるべき脆弱性となっている。
複数の公開 PoC (概念実証) エクスプロイトが出回っており、機会を狙う攻撃者の参入障壁が低下している。ただし、一部の PoC は偽物または悪意のものであり、エクスプロイトコードを扱う際には注意が必要である。
以下の React サーバ・パッケージの、バージョン 19.0.0/19.1.0/19.1.1/19.2.0 が影響を受ける。
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
これらのパッケージに依存しているフレームワークやツールも影響を受ける。具体的には以下が含まれる。
- Next.js (App Router)
- React Router RSC プレビュー
- waku
- Vite RSC プラグイン (@vitejs/plugin-rsc)
- Parcel RSC プラグイン (@parcel/rsc)
- Redwood SDK
Next.js については、App Router を使用しているバージョン 14.3.0-canary.77 以降/すべてのバージョン 15.x/16.x が影響を受ける。検証およびパッチ適用が完了するまで、それらは脆弱であるとみなすべきだ。
パッチと緩和策
それぞれのベンダーは、すでに修正をリリースしている。React は、修正済みのバージョン 19.0.1/19.1.2/19.2.1 を公開しており、Next.js もサポート対象ブランチ全体で複数の修正リリース (例: 15.0.5/15.1.9/15.2.6、15.3.6/15.4.8/15.5.7/16.0.7) を公開している。Cloudflare や AWS などのプロバイダーは、既知の悪用パターンをブロックする WAF ルールを展開しているが、研究者により WAF 回避手法が実証されているため、それらは一時的な対策に過ぎない。
組織に対しては、以下を強く推奨する。
- React Server Components や Next.js などのリストアップされたフレームワークを使用する、すべてのインターネット公開資産を把握する。
- パッケージおよびフレームワークのバージョンを確認し、パブリック・インターネットからアクセス可能なシステムから修正を優先する。
- 最新のパッチ適用済みリリースへ直ちにアップグレードし、デプロイメントを検証する。
公開サービスが大規模かつ無防備な状態で存在し、活発な悪用も確認されている状況を踏まえる必要がある。したがって、パッチ未適用の RSC 対応サービスに関しては、更新と侵害兆候の有無の徹底的な確認が完了するまで、高リスクとして扱うべきである。
React2Shell の問題は、React Server Components が入力データを安全に扱えていなかったことに起因します。特に、サーバ側でのデシリアライズ処理に弱点があり、攻撃者が細工したリクエストを送るだけで、ログイン不要で任意コードを実行できてしまう点が深刻です。実際に悪用も始まっており、影響範囲が広いことから、早急なパッチ適用とバージョン確認が重要だと、この記事は指摘しています。よろしければ、React2Shell での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.