Next.jsユーザーは要注意：React2Shell（CVE-2025-55182）によるRSCの重大脆弱性

2025年12月3日、React Server Components（RSC）の重大な脆弱性「CVE-2025-55182」が公開。数時間以内に攻撃が観測されました。

CVSSスコアは最大の10.0。とくにNext.js（App Router）など、React Server Components（RSC）をサーバー側で使用している環境は今すぐ対応が必要です。

機密情報が抜き取られる危険性も。詳細と対策ご紹介します。

なお、Laravel×Reactのように、Reactをフロントエンド（クライアント）側のみで使っている場合は影響を受けません。

影響を受けるライブラリ

React公式によれば、次の RSC 関連ライブラリに影響があります。

対象バージョン：19.0 / 19.1.0 / 19.1.1 / 19.2.0

• react-server-dom-webpack

• react-server-dom-parcel

• react-server-dom-turbopack

これらを内部利用している以下の環境も影響を受けます。

• Next.js 15.x / 16.x（App Router 使用時）

• react-router（RSC 利用時）

• その他「RSC をサーバー側で実行する仕組み」を持つ環境

多くの Next.js ユーザーは RSC を 意識せず自動的に使用しているため、影響範囲はかなり広いと考えられます。

React2Shell（CVE-2025-55182）の原因

React公式ブログでは、11 月 29 日に、認証されていないリモート コード実行を可能にする、React のセキュリティ脆弱性が報告されたとの記事があります。

On November 29th, Lachlan Davidson reported a security vulnerability in React that allows unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints.

引用元：https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

脆弱性の内容：機密情報漏洩・任意コード実行

この脆弱性は 認証不要のリモートコード実行 です。

攻撃者は、サーバーに『React Server Components 用のデータのフリ』をした悪意のデータを送り、サーバーの中で好きなコードを実行できてしいます。

.envなどの機密情報を読み取ったり、サーバー内ファイルの書き換えも可能だと考えられます。

AWSの報告では、攻撃者が単に自動スキャンを実行しているのではなく、手法を積極的にデバッグし、改良していることも示されています。

This behavior demonstrates that threat actors aren’t just running automated scans, but are actively debugging and refining their exploitation techniques against live targets.

引用元：https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/

今すぐできる対策：パッチを当てるだけ

React / Next.js を利用している場合は、必ずパッチ版へアップデートしてください。

詳細は公式サイトご確認ください。

Security Advisory: CVE-2025-66478

A critical vulnerability (CVE-2025-66478) has been identified in the React Server Components protocol. Users should upgrade to patched versions immediately.

nextjs.org

Vercel/AWSなどはWAFがある

VercelやAWSなどのプラットフォームの場合は、WAF（Web Application Firewall）により一定の防御が行われています。

ただこれは、 “時間稼ぎ用のバリア” にすぎず、根本対策ではありません。パッチ適用を最優先してください。

ちょっと雑談：Cloudflare 障害との関連（体験談）

今回の脆弱性への緊急対応に関連して、Cloudflare でも対策ルールの適用が行われました。

これによって、CloudFlareを使用する多くのサービスに影響が出た模様。

Cloudflareが処理するHTTPトラフィック全体の約28%と言われているので、3分の1弱ですね。

Cloudflare outage on December 5, 2025

Cloudflare experienced a significant traffic outage on December 5, 2025, starting approximately at 8:47 UTC. The incident lasted approximately 25 minutes befor...

blog.cloudflare.com

ちなみに、わたしも影響を受けました！

2025年12月5日の夕方、LinkedInというプラットフォームを使っていたところ、まさに投稿する瞬間、Cloudflare障害で、一時期作業が中断されました。

後から調べてみると、Cloudflare が React2Shell 用の対策をいれているところだったようです。

こういう時って、深刻なセキュリティ対応が隠れている可能性があると、実感しました。

さいごに

今回の攻撃者については、中国系国家支援グループが関与している可能性が指摘されています。

個人的には、生成AIにより攻撃側も業務効率化が可能になったことで、今後、サイバー攻撃は激化する気がしています。

安全性に、より高い注意が必要な時代に入ってきたと感じますね。セキュリティ意識、高めていきましょう。

なお今回の攻撃は、OWASP Top 10 の「Software Supply Chain Failures」に該当すると思われます。ご興味あればこちらみてください。

Webアプリ開発者のためのセキュリティ入門：OWASP Top 10 2025「Software Supply Chain Failures（ソフトウェアサプライチェーンの障害/脆弱性）」

OWASP Top 10 を通じて、Webアプリケーションのセキュリティを学んでいきましょう。 OWASPとOWASP Top10についてはこちら。 今回は最新のOWASP TOP10 2025*で３位の座に輝いたS...

biz.addisteria.com

2025.11.16