Reactの新たな脆弱性発覚と緊急パッチ適用呼びかけ
Reactは、セキュリティ研究者によって追加の脆弱性が報告されたことを受け、ユーザーに対して新たなパッチの適用を緊急に呼びかけています。これは、広範囲に影響を及ぼしている「React2Shell」危機に関連するもので、今回新たにサービス拒否(DoS)およびソースコード漏洩の脆弱性が判明しました。
「React2Shell」危機と追加の脆弱性
React2Shellは、11月に研究者のLachlan Davidson氏によって発見され、12月3日に公表されました。この脆弱性(CVE-2025-55182)は、ReactのServer Functionエンドポイントに送信されるペイロードの安全でないデシリアライゼーションにより、認証されていない攻撃者がリモートコード実行(RCE)を可能にするもので、CVSSスコア10.0の最も深刻な脅威とされています。
今回新たに発見された脆弱性は以下の通りです:
- サービス拒否(DoS)脆弱性(CVE-2025-55184およびCVE-2025-67779): 攻撃者は、悪意のあるHTTPリクエストをServer Functionsのエンドポイントに送信することで、無限ループを引き起こす可能性があります。この脆弱性のCVSSスコアは7.5です。
- ソースコード漏洩脆弱性(CVE-2025-55183): 脆弱なServer Functionに送信された悪意のあるHTTPリクエストにより、任意のServer Functionのソースコードが安全でない形で返される可能性があります。
新たな脆弱性への専門家の見解
研究者らは、今回新たに開示された脆弱性は、React2ShellのRCEに比べると深刻度が低いと警告しています。VulnCheck社のセキュリティリサーチ担当副社長であるCaitlin Condon氏は、「DoS攻撃も依然として攻撃者にとって価値のあるものですが、これらの新しい問題の影響は、元のReact2Shellエクスプロイトの影響には及びません」と述べています。また、情報漏洩(CVE-2025-55183)については、開発者が特定のRSC(React Server Components)機能を特定の態様で利用している場合に限定されるため、広範な悪用は以前の脆弱性よりもはるかに少ないだろうと付け加えています。
国家関連の攻撃者による悪用拡大
React2Shellの脆弱性は、すでに国家関連の攻撃者によって悪用されていることが確認されています。Amazon、Palo Alto Networks、GreyNoiseの研究者らが、この脆弱性を悪用した活動を確認しています。
- Palo Alto Networksは、少なくとも50の組織が攻撃後の活動の標的になったことを確認。
- Shadowserverの研究者は、約165,000のIPアドレスと644,000のドメインに脆弱なコードが存在する可能性を指摘。
- Cloudflareは、アジアを拠点とする脅威グループがReact2Shellの脆弱性を利用して、台湾、ベトナム、日本、ニュージーランド、新疆ウイグル自治区など、複数の国の重要インフラサイトを標的にしていると警告。
特に注目すべきは、ウランおよび核燃料の輸出入に関わる国家機関が標的とされた重大な攻撃が確認されていることです。