React、新たな脆弱性に対応する緊急パッチを公開
Reactは本日、セキュリティ研究者らによって指摘された追加の脆弱性に対応するため、新たなアップグレードパッチをリリースしました。これは、現在進行中のReact2Shell危機において、顧客が早急に適用すべき対応となります。
新たに発見された脆弱性の詳細
今回の更新で対処された脆弱性には、主に以下の2つがあります。
- サービス拒否 (DoS) の脆弱性 (CVE-2025-55184およびCVE-2025-67779): 攻撃者が悪意のあるHTTPリクエストをServer Functionsのエンドポイントに送信することで、無限ループを引き起こす可能性があります。この脆弱性の深刻度スコアは7.5と評価されています。
- ソースコード公開の脆弱性 (CVE-2025-55183): 脆弱なServer Functionに対して悪意のあるHTTPリクエストが送信された場合、Server Functionのソースコードが安全でない形式で返される可能性があります。
VulnCheckのセキュリティリサーチ担当バイスプレジデントであるCaitlin Condon氏は、「DoSは依然として攻撃者にとって価値のあるものですが、これらの新しい問題の影響は、元のReact2Shellエクスプロイトの影響には及ばない」と指摘しています。また、CVE-2025-55183の情報漏洩については、開発者が脆弱なReact Server Components (RSC) 関数を特定の方法で利用している場合にのみ発生するため、広範な悪用は起こりにくいだろうと述べています。
React2Shellの背景と深刻さ
React2Shellは、12月3日に公に開示された脆弱性(CVE-2025-55182)で、11月に研究者Lachlan Davidson氏によって発見されました。この脆弱性は、認証されていない攻撃者がReact Server Functionのエンドポイントに送信されるペイロードの安全でないデシリアライゼーションを利用して、リモートコード実行 (RCE) を達成できるというものです。この脆弱性は非常に不安定で悪用が容易であり、深刻度スコアは10と評価されています。
専門家の見解と脅威の現状
Amazon、Palo Alto Networks、GreyNoiseの研究者らは、国家支援型アクターがReact2Shellを悪用していることを確認しています。Palo Alto Networksは、少なくとも50の組織がポストエクスプロイト活動の被害に遭ったことを確認しました。また、Shadowserverの研究者は、潜在的に脆弱なコードを持つ約16万5000のIPと64万4000のドメインを発見しています。
Cloudflareは、アジア系の脅威グループがReact2Shellの脆弱性を利用して、台湾、ベトナム、日本、ニュージーランド、新疆ウイグル自治区など、複数の国の重要インフラサイトを標的にしていると警告しました。特に注目すべき攻撃として、ウランおよび核燃料の輸出入に関わる国家機関が標的にされた事例も報告されています。
影響と対応
これらの新たな脆弱性の発覚を受け、Reactを利用する全てのシステム管理者および開発者は、速やかに最新のパッチを適用することが求められます。特に、React2Shellのような深刻な脆弱性が国家レベルのアクターによって悪用されている現状を鑑みると、迅速な対応が不可欠です。