主なポイント
- CVE-2025-55184は、React Server Components(RSC)脆弱性 サービス拒否(DoS)脆弱性 であり、リモートコード実行の欠陥ではありません。
- この問題はReact2Shell(CVE-2025-55182)と密接に関連しており、同じReact Flightプロトコルの逆シリアライゼーション層に起因しています。
- Aikido は既にCVE-2025-55184を検知し、チームが実際に影響を受けているか、完全に修正済みかどうかを確認するためのアプリ内チェックリストを提供しています。
- 特別に仕組まれたリクエストは無限ループやハング状態を引き起こし、影響を受けたサーバーが応答しなくなる可能性があります。
- 不完全な初期パッチが追跡脆弱性CVE-2025-67779を引き起こしたため、一部のチームは再度アップグレードが必要となる。
- 影響が最も大きいアプリケーションは、Next.js App Router またはその他の RSC 対応フレームワークを使用しています。
要約:まだ危険にさらされていますか?
CVE-2025-55182(React2Shell)のみに対処するためにアップグレードした場合、依然として脆弱な状態にある可能性があります。
CVE-2025-55184は隣接するRSCコードパスに影響を与え、攻撃者がコード実行権限を取得しなくてもアプリをオフライン状態にできる可能性があります。最新のパッチ適用済みReactおよびNext.jsバージョン(後続のCVE-2025-67779の修正を含む)を実行していることを確認してください。
修復手順
1. React および RSC パッケージのアップグレード
Flightプロトコルの逆シリアライズロジックにおけるRCE(リモートコード実行)およびDoS(サービス拒否)の問題を完全に解決する、最新のパッチ適用済みReactリリースを実行していることを確認してください。
2. Next.js および RSC フレームワークのアップグレード
- Next.jsユーザーは、メジャーバージョンライン内の最新のパッチ適用済みリリースにアップグレードする必要があります。
- アプリルーターまたはサーバー機能を使用するアプリが最も危険に晒される。
- React2Shell後の初期パッチのみに依存することは避けてください。一部は不完全だったためです。
3. 追跡CVEの再スキャン
CVE-2025-55184の初期修正が不完全であったため、以下の点を確認する必要があります:
- CVE-2025-67779も修正済みです
- 脆弱な推移的RSC依存関係 は依存関係
4. 検証する Aikido
新しいスキャンを実行して確認してください:
- 脆弱なRSCパッケージは完全に削除されました
- 影響を受けたシリアル化パスは、もはや到達不可能です
- アップグレードにより、依存関係フラグだけでなく、実際に実行時の脆弱性も解消されます
背景
12月3日、React Server Components(RSC)脆弱性 重大なリモート脆弱性 (CVE-2025-55182)が発見され、Reactエコシステムは大きな衝撃を受けた。この脆弱性は広く「React2Shell」と呼ばれている。前回の ブログ記事では、RSCの「Flight」プロトコルにおける安全でない逆シリアライゼーションが、認証されていない攻撃者に細工されたHTTPリクエストを送信させることを可能にし、デフォルトのReact/Next.jsアプリケーションでサーバーの完全な乗っ取りにつながる可能性について考察した。
その後、業界が55182へのパッチ適用と防御に急いだ結果、隣接するコードパスに新たな脆弱性が発見され、新たなセキュリティアドバイザリとCVEが発行されました。その一つがCVE-2025-55184です。これはReact2Shellのようなリモートコード実行の欠陥ではありませんが、可用性に対する深刻なリスクを引き続き示しています。
深堀り
CVE-2025-55184とは何ですか?
CVE-2025-55184 は、React Server Components ランタイムにおける特別に細工された入力の安全でない処理によって脆弱性 サービス脆弱性 です。
攻撃者は不正な形式のRSCリクエストを送信することができ、そのリクエストは以下を行う:
- 無限ループを引き起こす、または
- サーバーをハング状態に強制する
一度トリガーされると、サーバーは再起動されるまで正当なトラフィックへの応答を停止する可能性があります。
React2Shellとの関係性
これらの脆弱性は独立したバグではありません:
- どちらもReact Flightプロトコルに由来しており、クライアントからの構造化データがサーバーサイドレンダリングと実行に影響を与えることを可能にします。
- CVE-2025-55184は、React2Shellの監査中に、研究者が隣接する逆シリアライゼーションロジックを調査した際に発見された。
- 追加で関連する問題が発生した。具体的には:
- CVE-2025-55183 (ソースの露出)
- CVE-2025-67779 (55184の不完全な修正)
- CVE-2025-55183 (ソースの露出)
このパターンは、RSCのシリアル化設計におけるシステミックリスクの表面を浮き彫りにする。
可用性攻撃が依然として重要である理由
React2Shellとは異なり:
- 攻撃者はシェルアクセス権を取得しない
- 任意のコード実行は発生しない
しかし:
- サーバーはリモートでオフラインにできる
- 攻撃は認証されていない
- 繰り返しの悪用は、サービス停止、パフォーマンスの低下、または強制再起動を引き起こす可能性があります
多くのチームにとって、ダウンタイムは侵害と同じくらい深刻な損害をもたらす。
影響を受けるのは誰ですか?
以下の場合、影響を受ける可能性があります:
- Reactサーバーコンポーネントを使用します
- Next.js アプリルーターを実行する
- サーバー機能またはRSCエンドポイントを露出する
- 12月のReact/Next.jsに関する勧告後も完全にはアップグレードされていない
サーバーロジックを明示的に使用していなくても、フレームワークのデフォルト設定によって脆弱なコードパスが公開される可能性があります。
深刻度
- CVEスコア: 高 (可用性への影響)
- 影響:サービス拒否
- 攻撃ベクトル: リモート、認証不要
- 悪用可能性:低複雑度
タイムライン
- 11月下旬:React2Shell (CVE-2025-55182) が公表される
- 12月上旬:RSCの追加的な脆弱性が発見される
- 12月3日~5日:CVE-2025-55184が公開され、修正パッチが適用された
- 後日:不完全な修正が特定される → CVE-2025-67779 が発行される
今すぐコードベースをスキャン
Aikido CVE-2025-55184、CVE-2025-67779、およびRSC関連の脆弱性群を追跡します。
リポジトリを次の場所に接続してください:
- 脆弱なReactおよびNext.jsのバージョンを特定する
- リスクの高いRSCパスが実際に到達可能かどうかを判断する
- アップグレードが完全にリスクを排除していることを検証する
無料でスキャンを開始 Aikidoでスキャンを始めましょう。
今すぐソフトウェアを保護しましょう
