公開日:2025/12/08 最終更新日:2025/12/08

JVNVU#91640936
React Server Componentsにおける信頼できないデータのデシリアライゼーションの脆弱性
緊急

概要

React Server Componentsには、信頼できないデータのデシリアライゼーションの脆弱性が存在します。

影響を受けるシステム

React

  • react-server-dom-webpack 
    • 19.0.1より前の19.0系
    • 19.1.2より前の19.1系
    • 19.2.1より前の19.2系
  • react-server-dom-parcel
    • 19.0.1より前の19.0系
    • 19.1.2より前の19.1系
    • 19.2.1より前の19.2系
  • react-server-dom-turbopack
    • 19.0.1より前の19.0系
    • 19.1.2より前の19.1系
    • 19.2.1より前の19.2系
なお、React Server Functionエンドポイントを実装していなくても、React Server Componentsをサポートしている場合、本脆弱性の影響を受ける可能性があります。

Reactの関連フレームワークなど
一部のReactフレームワークおよびバンドラーは、本脆弱性の影響を受けるReactパッケージに依存するなどの理由から影響を受けます。
  • Next.js
    • Next.js 16.0.7より前
    • Next.js 15.5.7より前
    • Next.js 15.4.8より前
    • Next.js 15.3.6より前
    • Next.js 15.2.6より前
    • Next.js 15.1.9より前
    • Next.js 15.0.5より前
    • Next.js 14.3.0-canary.77およびそれ以降のcanaryリリース
  • next
  • react-router
  • waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk

詳細情報

React Server Componentsには、信頼できないデータのデシリアライゼーション(CWE-502、CVE-2025-55182)の脆弱性が存在します。

JPCERT/CCでは、本脆弱性の概念実証コード(PoC)がインターネットに公開されていることと、悪用を試行する通信を確認しています。

想定される影響

遠隔の攻撃者が細工されたHTTPリクエストをReact Server Componentsを処理するサーバに送信した場合、認証無しで任意のコードを実行される可能性があります。

対策方法

アップデートする
各開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ リンク
The React Team Critical Security Vulnerability in React Server Components
Meta CVE-2025-55182
Vercel Summary of CVE-2025-55182

参考情報

  1. JPCERT/CC CyberNewsFlash 2025-12-05
    React Server Componentsの脆弱性(CVE-2025-55182)について
  2. Wiz
    Critical Vulnerabilities in React and Next.js: everything you need to know

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia