はじめに

セキュリティ研究者は、ウェブ開発で広く利用されているReact Server Components (RCS)およびNext.jsにおいて、リモートコード実行（RCE）を可能にする複数の深刻な脆弱性を発見したと発表しました。これらの脆弱性は、認証なしで悪用可能であり、デフォルトの設定でも影響を受けるため、速やかなパッチ適用が求められています。

脆弱性の詳細

今回発見された脆弱性は以下の通りです：

• CVE-2025-55182（React Server Components）：ペイロードの安全でないデシリアライゼーションに起因し、認証されていないリモートコード実行を可能にします。
• CVE-2025-66478（Next.jsアプリケーション）：CVE-2025-55182がReactのRCSプロトコルに由来するため、Next.jsアプリケーションにも連鎖的な影響を及ぼします。

両方の脆弱性ともに、深刻度スコアは最高の10と評価されており、セキュリティ企業Wizの研究者らは、実験において約100%の成功率でリモートコード実行が可能であったと報告しています。

影響と対策

この脆弱性の最も懸念される点は、多くの環境でデフォルト設定が脆弱であるという事実です。ReactはFacebookが開発したJavaScriptライブラリであり、Next.jsも広く利用されているため、その影響範囲は非常に大きいと考えられます。Wizの調査によると、クラウド環境の40%が脆弱なNext.jsまたはReactのインスタンスを含んでいると指摘されています。

セキュリティ研究者のベンジャミン・ハリス氏は、「詳細が限られているものの、公開されたパッチの分析が始まり次第、実世界での悪用は差し迫っていることに疑いの余地はない」と警告しています。この脆弱性は、11月29日にセキュリティ研究者のラフラン・デビッドソン氏によってMetaのバグバウンティプログラムを通じてReactに報告されました。

ユーザーは、各フレームワークベンダーが提供するガイダンスに従い、直ちにソフトウェアを更新することが強く推奨されます。ReactおよびVercel（Next.jsの開発元）は、それぞれ更新に関するガイダンスを公開しています。

まとめ

今回の脆弱性は、ウェブアプリケーションのセキュリティにおける深刻な警鐘であり、開発者は迅速な対応が求められます。最新のセキュリティパッチを適用し、安全な運用を確保することが不可欠です。

元記事: https://www.cybersecuritydive.com/news/critical-vulnerabilities-found-in-react-and-nextjs/807016/