React Server Components Vulnerability Enables DoS Attacks
2026/04/10 CyberSecurityNews — React Server Components に発見された高深刻度の脆弱性により、モダンな Web アプリケーションが Denial-of-Service (DoS) 攻撃に直面するリスクが生じている。この脆弱性 CVE-2026-23869 を悪用する未認証のリモート攻撃者は、細工されたネットワーク・リクエストを送信することで、バックエンド・サーバのリソースを枯渇させることが可能になる。
この攻撃は低複雑性で成立し、ユーザー操作や特権を必要としないため、脆弱な React サーバ・パッケージを使用する本番環境に対して、即時的なリスクをもたらす。GitHub Security Advisory は、この脆弱性を High と評価している。
攻撃メカニズム
この脆弱性は、Server Action/Server Function エンドポイントにおける入力データ処理に起因する。この欠陥を突く攻撃者は、細工された HTTP リクエストをエンドポイントへ直接送信する。この種の悪意のペイロードを受信したサーバでは、2 つのセキュリティ問題が同時に発生する。
- 信頼できないデータのデシリアライズ (CWE-502) により、危険な入力が検証なしで処理される。
- リソース消費制御の欠如 (CWE-400) により、不正/複雑なデータ処理時に過剰な CPU 使用が発生する。
その結果として、サーバは最大 1 分間にわたり CPU 使用率が急上昇する。最終的には例外処理により終了するが、その間の負荷増大によりアプリケーション性能が低下し、正規ユーザーのアクセスが阻害される。
影響の範囲
この脆弱性が存在する場所は、サーバサイド・レンダリングおよびコンポーネント・ルーティングを処理するコアパッケージである。
影響を受けるバージョンは、19.0/19.1/19.2 系列であり、対象パッケージは以下の通りである。
- react-server-dom-parcel (19.0.0~19.0.4/19.1.0~19.1.5/19.2.0~19.2.4)
- react-server-dom-turbopack (19.0.0~19.0.4/19.1.0~19.1.5/19.2.0~19.2.4)
- react-server-dom-webpack (19.0.0~19.0.4/19.1.0~19.1.5/19.2.0~19.2.4)
すべての React アプリケーションが、影響を受けるわけではない。React がクライアント・サイドのみで動作する場合には、この脆弱性の影響は生じない。また、React Server Components をサポートする、フレームワーク/バンドラ/プラグインを使用していない場合も影響を受けない。
対策
すでに React メンテナンス・チームは、この脆弱性に対する修正をバックポート済みである。開発チームにとって必要なことは、依存関係を監査し、速やかにアップデートすることである。安全なバージョンは、19.0.5/19.1.6/19.2.5 である。
訳者後書:この脆弱性の原因は、React Server Components (RSC) がクライアントからの入力をデシリアライズする際の、不十分なサニタイズにあります。具体的には、サーバ上の関数を呼び出すエンドポイントにおいて、攻撃者が送り込んだ巨大な数値データや、複雑な構造のデータを制限なく処理するという不備がありました。この脆弱性 CVE-2026-23869 により、一度のリクエストでサーバの CPU を長時間にわたり占有し、リソースを枯渇させる攻撃が可能になっています。ご利用のチームは、ご注意ください。よろしければ、React での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.