JavaScriptライブラリ「React」のサーバコンポーネントについて、CVSS(v3.1)10.0の極めて危険な脆弱性が確認され、JPCERT/CCの脆弱性情報でも今後の悪用が危惧されています。
(2025/12/5現在:https://www.jpcert.or.jp/newsflash/2025120501.html)
本脆弱性は、攻撃者がReact Serverコンポーネントの関数エンドポイントに送信されたペイロードをデコードする方法の欠陥を悪用し、細工したHTTPリクエストを送信することで、認証されていないリモートコードの実行を可能にするものです。該当のパッケージを使用している場合、速やかなアップデートが必要です。
詳細および対策についてはこちらをご確認ください。
参考URL:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
参考:
本脆弱性に依存する形で、Webアプリケーションフレームワーク「Next.js」についても速やかなアップデートが求められています(https://nextjs.org/blog/CVE-2025-66478)。
※Next.jsの脆弱性についてCVE-2025-66478として扱われた情報もありますが、cve.orgではCVE-2025-55182に統合されています(https://www.cve.org/CVERecord?id=CVE-2025-66478)。
【Scutumでの対応について】
WAF 『Scutum』では、「React Server Componentsの脆弱性」(CVE-2025-55182、CVE-2025-55184、CVE-2025-67779、CVE-2025-55183)を狙った攻撃について影響を受けない状態であることを確認しております。
2025/12/11追記:
2025/12/9(当記事掲載後)に、IPAからも本脆弱性について緊急の注意喚起が行われました。
https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html
2025/12/18追記:
「React」のサーバコンポーネントに関して、新たにサービス拒否の脆弱性(CVE-2025-55184、CVE-2025-67779)およびソースコード漏洩の脆弱性(CVE-2025-55183)が発見されました。
前述のIPAによる注意喚起でもこれら3つの脆弱性について追記されています。
WAF「Scutum」では2025年12月12日から12月17日までの間に段階的に検知ロジックのアップデートを行い、12月17日時点で、Scutumを経由する通信においては上記いずれの脆弱性についても影響を受けない状態となっていることを確認いたしました。