CISA Adds Critical React2Shell Vulnerability to KEV Catalog Following Active Exploitation
2025/12/09 CyberSecurityNews — Meta React Server Components に影響を与える、深刻な脆弱性 CVE-2025-55182 が Known Exploited Vulnerabilities (KEV) カタログに追加された。それが意味するのは、米連邦政府においても、この脆弱性 React2Shell が広範に悪用されている状況である。このリモート・コード実行の脆弱性は、React Server Components を利用する組織にとって差し迫った脅威となっている。脆弱性 CVE-2025-55182 は、React Server Function エンドポイントに送信されるペイロードを、React Server Components がデコードする際の方法に起因する。
この脆弱性を悪用する攻撃者は、認証不要のリモート・コード実行を引き起こせる。それにより、認証やユーザー操作を必要とせず、影響を受けるシステムが侵害される可能性が生じる。
この脆弱性 CVE-2025-55182 の特性は極めて危険であり、さまざまなネットワーク環境において、脅威アクターたちにより容易に武器化されてしまう。CISA は、この脆弱性の深刻度を Critical と評価しており、その広範な影響の可能性を強調している。
こうした状況を踏まえ、2025年12月5日に CISA は CVE-2025-55182 を KEV カタログに追加し、連邦政府機関および重要インフラ事業者に対して、2025年12月26日を修復期限として設定した。この 21日間の猶予期間は、脅威の緊急性とアクティブな攻撃活動に関する評価を反映するものである。したがって、Meta React Server Components を使用する組織は、直ちに修復作業を実施する必要がある。
CISA の指示は、ベンダー提供の緩和策を適用、または、クラウド・サービスに適用される BOD 22-01 ガイダンスに従うことである。パッチまたは緩和策を直ちに適用できない組織は、影響を受ける製品の使用を停止して、セキュリティ体制を維持する必要がある。
ランサムウェアによる攻撃やキャンペーンと、この脆弱性との関連性を確認するインシデントは文書として公表されていない。しかし、深刻性とアクティブな悪用状況を踏まえると、リスクは依然として高いと、セキュリティ研究者たちは考えている。
ユーザー組織にとって必要なことは、脅威インテリジェンス・フィードおよびセキュリティ・アドバイザリを常に監視し、この分野の動向を把握することである。今回の CISA による KEV カタログへの追加は、脆弱性管理プログラムと迅速なパッチ適用サイクルの重要性を改めて強調するものだ。脅威アクターたちが CVE-2025-55182 を積極的に悪用しているため、防御策に費やせる時間が短くなっている。
米連邦政府の機関は、React Server Components (RSC) の影響について自社インフラストラクチャを直ちに評価し、12月26日の期限までに対策を講じる必要がある。
CISA が民間のセキュリティ・チームに推奨するのは、現在の React 実装を見直し、管理された環境でのパッチとの互換性をテストすることだ。すべての影響を受けるシステムを包括的にカバーしながら、パッチ適用や緩和策の展開に伴う運用中断を最小化するための計画を策定する必要がある。
Meta React Server Components の脆弱性 CVE-2025-55182 が、CISA KEV に登録されました。この脆弱性は、サーバ側における受け取ったデータの扱い方に起因し、攻撃者が認証なしでコードを実行できてしまう点が大きな問題になっています。特別な操作が不要であり、悪用されやすいため、被害が広がりやすい状況です。現在も積極的な攻撃が確認されているため、利用している環境では速やかな修正が重要になると、この記事は指摘しています。よろしければ、CISA KEV および React2Shell での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.