CISAが重大な脆弱性をKEVカタログに追加

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、MetaのReact Server Componentsに影響を及ぼす高 severity の脆弱性である「React2Shell」(CVE-2025-55182)を、悪用が確認された脆弱性（Known Exploited Vulnerabilities, KEV）カタログに公式に追加しました。この脆弱性は現在活発に悪用されており、早急な対策が求められています。

「React2Shell」の概要と脅威

React2Shellは、React Server Componentsに見つかったリモートコード実行（RCE）の脆弱性です。この問題は、フレームワークがReact Server Functionエンドポイントに送信されるデータペイロードのデコード処理に不備があり、受信したデータを適切に検証しないことに起因します。これにより、攻撃者は悪意のあるコマンドを挿入することが可能となります。

この脆弱性の最も危険な点は、「認証不要」なリモートコード実行を許してしまう点です。攻撃者はパスワードや既存のアカウントがなくてもエクスプロイトを誘発できます。特別に細工されたリクエストを脆弱なサーバーに送信するだけで、システムを完全に制御し、任意のコードを実行したり、機密データを窃取したりする可能性があります。この特性が、React2Shellを、このフレームワーク上で構築された最新のウェブアプリケーションを運用する組織にとって、極めて危険な脅威としています。

CISAによる警告と対策の呼びかけ

CISAがCVE-2025-55182をKEVカタログに追加したことは、脅威アクターがこの脆弱性を標的への攻撃に積極的に利用していることを裏付けています。拘束的運用指令（BOD）22-01に基づき、連邦政府の行政機関は、2025年12月26日までにこの特定の脅威からネットワークを保護することが義務付けられています。

この指令は連邦機関にのみ適用されるものですが、CISAはすべての組織（民間企業や州政府を含む）に対し、この修正プログラムを優先的に適用するよう強く勧告しています。脆弱性の発見から広範囲な攻撃までの期間は短縮されており、悪用がすでに確認されているということは、自動化された攻撃ツールが脆弱なサーバーをスキャンしている可能性があることを示唆しています。

推奨される対応

システム管理者は、自社の環境がReact Server Componentsの脆弱なバージョンを使用しているかどうかを直ちに確認する必要があります。推奨される主要な対策は以下の通りです：

• ベンダーの指示に従い、直ちに軽減策を適用してください。
• パッチや軽減策が利用できない場合、CISAは、安全が確保されるまで影響を受ける製品の使用を中止することを推奨しています。

関連情報

この脆弱性に対応するため、Next.jsはReact2Shellの脆弱性の影響を受けるアプリケーションを検出・修正するためのスキャナーをリリースしています。

---

元記事: https://gbhackers.com/cisa-adds-critical-react2shell-vulnerability-to-kev-catalog/