React Server Componentsに、信頼できないデータのデシリアライゼーション(CWE-502、CVE-2025-55182)の脆弱性が存在する。対象はReactのreact-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackの19.0系(19.0.1より前)、19.1系(19.1.2より前)、19.2系(19.2.1より前)である。
React Server Functionエンドポイントを実装していなくても、React Server Componentsをサポートしている場合は影響を受ける可能性がある。Next.js、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc、rwsdkなどのフレームワークやバンドラーも影響を受ける。
JPCERT/CCは、本脆弱性の概念実証コード(PoC)がインターネットに公開されていることと、悪用を試行する通信を確認している。遠隔の攻撃者が細工されたHTTPリクエストをReact Server Componentsを処理するサーバに送信した場合、認証無しで任意のコードを実行される可能性がある。
React Team、Meta、Vercel、Wizなどが関連情報を公開している。
From: 
JVNVU#91640936 React Server Componentsにおける信頼できないデータのデシリアライゼーションの脆弱性 緊急
【編集部解説】
React 19世代が掲げてきたReact Server Components(RSC)は、本来フロントとバックエンドの境界を抽象化し、コンポーネントを書く感覚で高いUXと効率的なデータ取得を実現するための仕組みです。しかしCVE-2025-55182では、その中核となるFlightプロトコルのデシリアライゼーション処理に設計上の穴があり、認証なしのリモートコード実行につながる経路が露呈しました。
ポイントは、RSCを「直接使っているつもりがない」チームも影響から逃れられない構図にあります。create-next-appで作った標準構成のNext.jsアプリや、react-routerの実験的API、ViteやParcelのRSCプラグイン、Redwood SDKなどを通じてRSCが裏で動いているケースでは、追加実装なしでも攻撃対象になり得ます。
今回の脆弱性はすでにPoCが公開され、Wizなどがインターネット上での攻撃トラフィックと実際の侵害事例を報告しています。公開されたRSCエンドポイントに細工したHTTPリクエストを送ることで、コンテナ内で任意のJavaScriptコードを実行し、暗号資産マイナーやバックドアの展開、クラウド資格情報の窃取などにつなげる攻撃シナリオが確認されています。
一方で、Reactチーム、Vercel、クラウド各社、セキュリティベンダーがほぼ同時にアドバイザリやパッチ、検知ルールを公開し、エコシステム全体でリスクの寿命を短くしようとしている点は見逃せません。モダンなWebフレームワークはブラックボックスに見えがちですが、適切なアップデートと監視が回れば「便利さと安全性はトレードオフではない」ことを今回の対応は示しています。
長い目で見ると、RSCに限らずtRPCやGraphQL、各種Server Actionsなど、サーバー側にリッチな抽象化を提供する仕組みは、プロトコル設計とシリアライゼーションの安全性がインフラレベルの責任を負う時代に入ったといえます。フレームワークを選ぶときはDXの良さだけでなく、デフォルト設定でどこまで攻撃面を狭くできているか、仕様が外から検証しやすいかといった観点も、これからの評価軸になっていきそうです。
【用語解説】
React Server Components(RSC)
Reactが提供する仕組みの一つで、コンポーネントの一部をサーバー側で実行し、その結果をクライアントにストリーミングすることで、パフォーマンスと開発効率の両立を狙うアーキテクチャである。
デシリアライゼーション(CWE-502)
ネットワーク越しなどで受け取ったシリアライズ済みデータを、プログラム内部のオブジェクトや構造に復元する処理のことを指す。CWE-502は、信頼できない入力をそのままデシリアライズすることによる脆弱性カテゴリである。
リモートコード実行(RCE)
攻撃者がネットワーク経由で任意のコードを実行できてしまう状態を指す。サーバー乗っ取りやマルウェア設置などに直結しやすく、深刻度が高い脆弱性の代表的なパターンとされる。
PoC(Proof of Concept)
脆弱性が実際に悪用可能であることを示すための概念実証コードのことだ。攻撃者や防御側双方が、現実の環境でどのように成立するかを確認する際の材料になる。
【参考リンク】
React(React.dev)(外部)
Metaが開発するJavaScriptライブラリReactの公式サイトで、React Server Componentsを含む最新ドキュメントとアナウンスが集約されている。
Next.js(Vercel)(外部)
Vercelが提供するReact向けフレームワークNext.jsの公式サイトで、App RouterやServer Components対応などモダンWeb開発向け機能が紹介されている。
Summary of CVE-2025-55182(外部)
Vercelが公開するCVE-2025-55182の要約ページで、影響を受けるNext.jsバージョンとパッチ状況、推奨されるアップデート手順が整理されている。
React2Shell (CVE-2025-55182): Critical React Vulnerability(外部)
クラウドセキュリティ企業WizによるCVE-2025-55182の技術解説で、攻撃手法やクラウド環境への影響、検知と緩和策が詳しく説明されている。
React Server Componentsの脆弱性(CVE-2025-55182)について(外部)
JPCERT/CCが発行したCyberNewsFlashで、PoC公開や悪用通信の確認状況、日本国内の組織に向けた注意喚起と対策の概要が示されている。
【参考動画】
【参考記事】
Critical Security Vulnerability in React Server Components (外部)
ReactチームがCVE-2025-55182の技術的背景と影響範囲、影響を受けるバージョン、推奨アップグレードパスを整理し、RSCプロトコルの問題点と今後の方針を説明している。
React Server Componentsの脆弱性(CVE-2025-55182)について (外部)
JPCERT/CCがCVE-2025-55182に関するPoC公開と悪用通信の確認状況、影響を受ける環境の例、国内組織に求められるアップデート対応を簡潔にまとめている。
React2Shell (CVE-2025-55182): Critical React Vulnerability | Wiz Blog (外部)
WizがReact2Shellと命名したCVE-2025-55182の深掘り記事で、攻撃チェーンの詳細やクラウド環境での横展開パターン、検知・緩和のベストプラクティスが紹介されている。
Summary of CVE-2025-55182 (外部)
VercelがNext.jsおよび同社プラットフォームにおけるCVE-2025-55182の影響を要約し、影響バージョンとパッチ状況、利用者が取るべき更新ステップを説明している。
CVE-2025-55182 Detail – NVD (外部)
NVDがCVE-2025-55182のCVSSスコアやCWE-502との対応、影響範囲を公式レコードとして掲載し、各ベンダーアドバイザリへのリンクも提供している。
【編集部後記】
ReactやNext.jsを本番で使っている方は、この脆弱性をきっかけに「自分たちのスタック全体を一度俯瞰してみる時間」を少し取ってみませんか。依存関係のどこまでを把握できているか、RSCのような新しい抽象化をどこまで理解して採用しているかは、誰にとっても悩みどころだと感じます。
