Next.js 用の React2Shell スキャナーがリリース:影響を受けるアプリの自動検出とパッチ適用

Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability

2025/12/08 gbhackers — Next.js が発表したのは、深刻な React2Shell 脆弱性との戦いに用いる新たなツールのリリース情報である。この新しいスキャナーにより、開発チームに対してシンプルなワンライナー・ソリューションが提供され、Next.js/React Server Components (RSC) の脆弱なバージョンの特定および、必要なセキュリティ・アップデートの速やかな適用が可能になる。

Vercel Labs がリリースしたのは、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-66478 の影響を受けるアプリケーションを自動的に検出してパッチを適用する、専用コマンドライン・ツール fix-react2shell-next である。

自動検出とパッチ適用

この fix-react2shell-next は、モノレポを含む複雑なプロジェクト構造を処理できるように構築されている。

Automated Detection and Patching
Automated Detection and Patching

このツールは、プロジェクト・ディレクトリ内のすべての “package.json” ファイルを再帰的にスキャンし、既知の脆弱なバージョンに一致する依存関係を検出する。人為的なミスが発生しやすい手動アップデートとは異なり、このツールは確実なバージョンアップを保証するため、複数のパッケージを含む大規模プロジェクトにも適している。

現時点で使用されているバージョンを正確に特定し、公式セキュリティ・アドバイザリで推奨されている安全なパッチレベルへとアップグレードする。具体的に言うと、このツールが脆弱なパッケージを特定すると、検出されたパッケージ・マネージャー (npm/yarn/pnpm/bun) を使用して “package.json” を自動更新し、プロジェクトのロックファイルを更新する。

この自動化により、React2Shell RCE からアプリケーションを保護するために必要な時間が大幅に短縮される。

この脆弱性 CVE-2025-66478/CVE-2025-55182 は、Next.js と React Server Components の複数のブランチに影響を及ぼす。このツールは以下の Next.js バージョンをチェックし、対応するパッチを適用する。

Current Version RangeRequired Patched Version
15.0.0 – 15.0.4Update to 15.0.5
15.1.0 – 15.1.8Update to 15.1.9
15.2.0 – 15.2.5Update to 15.2.6
15.3.0 – 15.3.5Update to 15.3.6
15.4.0 – 15.4.7Update to 15.4.8
16.0.0 – 16.0.6Update to 16.0.7

Canary ビルドを利用しているユーザーは、15.6.0-canary.58/16.1.0-canary.12 へとアップグレードする必要がある。また、古いバージョン(Next.js 14.x) 利用者に推奨されるのは、14.3.0-canary.76 へのダウングレードもしくはステイブル版 15.0.5 へのアップグレードである。

このツールは、react-server-dom-webpack/react-server-dom-parcel/react-server-dom-turbopack も更新する。

  • 19.0.0 → 19.0.1 にアップデート
  • 19.1.0/19.1.1 → 19.1.2 にアップデート
スキャナーの使い方

開発者は npx を使用することで、グローバル・インストールを必要とすることなく、このツールを直ちに実行できる。

対話型モード:bash
npx fix-react2shell-next

自動修正モード (CI/非対話型環境):bash
npx fix-react2shell-next –fix

ドライ・ラン:bash
npx fix-react2shell-next –dry-run

アクティブなエクスプロイト試行が予想されている。したがって、影響を受ける Next.js/React Server Components を運用する組織に強く推奨されるのは、このスキャナーを直ちに実行し、リモート攻撃からアプリケーションを保護することである。

React2Shell の問題は、React Server Components の安全でないデータ処理が原因となり、リモート攻撃者が細工した入力を送るだけでコード実行に至るというものです。この記事で紹介されている新ツールは、脆弱なバージョンの特定や更新を自動化し、手作業での確認漏れを防げるようにしたものです。とくに大規模プロジェクトでは依存関係が複雑になりがちなため、確実にパッチを適用できる仕組みはとても助けになると、この記事は指摘しています。よろしければ、2025/12/04 の「ReactJS/Next.js の脆弱性 CVE-2025-55182:RSC エンドポイント検出ツールが提供された!」も、ご参照ください。