Cloudflareが大規模障害を報告:「React2Shell」緊急パッチが原因
本日、世界中でウェブサイトやオンラインプラットフォームに「500 Internal Server Error」を引き起こしたCloudflareの大規模なシステム障害について、同社が原因を公表しました。Cloudflareは、React Server Componentsにおける重大なリモートコード実行の脆弱性「React2Shell」に対処するための緊急パッチが、今回のインシデントの引き金となったと説明しています。
Cloudflareの発表によると、「CloudflareのWeb Application Firewallがリクエストを解析する方法に加えられた変更が、今朝の数分間、Cloudflareネットワークを利用不能にしました。これは攻撃ではなく、今週公開されたReact Server Componentsの業界全体にわたる脆弱性を緩和するために当社のチームが展開した変更です。」とのことです。同社は、今後さらに詳しい情報を提供する予定です。
「React2Shell」(CVE-2025-55182)脆弱性の詳細
今回の障害の原因となった「React2Shell」は、CVE-2025-55182として追跡されている最大深刻度のセキュリティ欠陥です。この脆弱性は、ウェブおよびネイティブユーザーインターフェース向けのオープンソースJavaScriptライブラリであるReact、およびNext.js、React Router、Waku、@parcel/rsc、@vitejs/plugin-rsc、RedwoodSDKなどの依存するReactフレームワークに影響を及ぼします。
この脆弱性は、React Server Components(RSC)の「Flight」プロトコル内で発見されました。認証されていない攻撃者が、悪意を持って作成されたHTTPリクエストをReact Server Functionのエンドポイントに送信することにより、ReactおよびNext.jsアプリケーションでリモートコード実行(RCE)を可能にするものです。
デフォルト構成の複数のReactパッケージ(例:react-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack)が脆弱性の影響を受けますが、この欠陥は過去1年間にリリースされたReactバージョン19.0、19.1.0、19.1.1、および19.2.0のみに影響するとされています。
「React2Shell」の活発な悪用と過去のサービス障害
影響は当初考えられていたほど広範ではないものの、Amazon Web Services(AWS)のセキュリティ研究者らは、この最大深刻度の脆弱性が開示されてから数時間以内に、複数の中国系ハッキンググループ(Earth LamiaおよびJackpot Pandaを含む)が「React2Shell」脆弱性の悪用を開始していると報告しています。NHS England National CSOCも木曜日、「CVE-2025-55182の機能的な概念実証エクスプロイトがすでに複数利用可能であり、実世界での継続的な悪用が非常に高い可能性で発生する」と警告しました。
Cloudflareは、先月も約6時間にわたりグローバルネットワークがダウンする世界規模の障害を経験しており、CEOのMatthew Prince氏はこれを「2019年以来最悪の障害」と表現しました。さらに6月には、複数の地域でAccess認証の失敗やZero Trust WARP接続の問題を引き起こし、Google Cloudのインフラにも影響を与えた大規模障害も修正しています。