Critical React & Next.js RCE Vulnerability (CVE-2025-55182): 今すぐ修正すべき事項

主なポイント

• CVE-2025-55182 は、React サーバーコンポーネントにおける重大なリモートコード実行の脆弱性です。
• Next.jsは、同じ基盤となるFlightプロトコルを使用していることから、関連する識別子CVE-2025-66478を割り当てています。
• 脆弱なバージョンには、複数のReact 19リリースにおけるreact-server-dom-webpack、react-server-dom-parcel、およびreact-server-dom-turbopackが含まれます。
• Next.js、React Router（RSCモード）、Vite RSCプラグイン、Parcel RSCプラグイン、RedwoodSDK、Wakuなどのフレームワークは、これらの脆弱なパッケージをバンドルしています。
• Aikido 、CVE-2025-55182および関連するNext.jsのCVE-2025-66478を10/10で追跡しています。リポジトリを接続してスキャンしてください。

要約：影響を確認する

Aikido 、CVE-2025-55182および関連するNext.jsのCVE-2025-66478を追跡しています。リポジトリを接続して、アプリケーションまたはその依存関係に脆弱なReact Server Componentの実装が含まれているかどうかを確認してください。

修復手順

1. Reactのアップグレード

パッチ適用済みのReactバージョン（19.0.1、19.1.2、19.2.1など）をインストールしてください。これらは強化された入力処理を含んでいます。

2. RSCをバンドルするフレームワークのアップグレード

フレームワークを対応するパッチ適用版に更新してください。
Next.js ユーザーは、メジャーバージョンライン内の最新のパッチ適用リリースにアップグレードしてください。
14.3.0-canary.77 以降のカナリー版を使用しているユーザーは、最新の安定版 14.x リリースに戻してください。

3. RSC対応バンドラーおよびプラグインの更新

必ず更新してください：

• Vite RSC プラグイン
• 小包RSCプラグイン
• React Router RSC プレビュー
• レッドウッドSDK
• わく

各々は修正されたRSC実装を含むバージョンをリリースしている。

4.Aikidoで検証する

アップグレード後、スキャンを実行して 以下を確認してください ：

• 脆弱性のあるバージョンはすべて削除されました
• 影響を受ける推移的依存関係は残っていません
• フレームワークとバンドラーの統合は完全にパッチ適用済みです

背景

CVE-2025-55182は、Reactサーバーコンポーネントに影響を与える重大な認証不要のリモートコード実行脆弱性です。React Flightプロトコルに依存するより広範なフレームワークエコシステムにも影響を及ぼします。Next.jsは、同じ根本的な問題に起因するこの脆弱性の追跡のためにCVE-2025-66478を割り当てています。

この脆弱性により、特別に細工されたリクエストがサーバーサイドのRSC実装内で安全でない逆シリアライズ動作を引き起こす可能性があり、特定の条件下でリモートコード実行につながる恐れがあります。影響を受けるのはReactバージョン19.0、19.1.0、19.1.1、19.2.0、およびこれらのパッケージを組み込んだ下流の統合機能です。

深堀り

脆弱性の性質

この問題は、React Flightプロトコルにおけるシリアライズ済みペイロードの安全でない処理に起因します。不正な形式のペイロードや悪意のあるペイロードは、意図しない方法でサーバーサイドの実行に影響を与える可能性があります。修正されたReactバージョンでは、より厳格な検証と強化されたデシリアライゼーション動作が実装されています。

サーバー機能を使用していなくても影響を受ける可能性がある理由

フレームワークは通常、デフォルトでRSC実装を組み込みます。そのため、アプリケーションはサーバー関数を明示的に定義していなくても公開される可能性があります。統合レイヤー自体が脆弱なコードパスを呼び出す可能性があります。

影響を受けるバージョン

Reactバージョン19.0、19.1.0、19.1.1、および19.2.0は脆弱です。
Next.jsバージョン14.3.0-canary.77以降、ならびにパッチ適用前のすべての15.xおよび16.xリリースは、RSC実装の使用により影響を受けます。

ホスティング環境に関する注意事項

Vercelは、ユーザーがアップグレードする間のリスクを軽減するためリクエスト層の保護機能を実装しましたが、これらは脆弱性を修正するものではありません。すべてのユーザーは、パッチ適用済みバージョンへできるだけ早く更新する必要があります。

深刻度

CVEスコア: 10.0 重大
影響: リモートコード実行
攻撃ベクトル: リモートかつ認証不要

タイムライン

11月29日：脆弱性報告
11月30日：確認と修正開発
12月1日：フレームワーク管理者とホスティングプロバイダーとの調整
12月3日：パッチ公開とCVE開示

‍

概念実証（クレジット：@maple3142）

以下の概念実証動画は、元々は@maple3142がXで 公開したもので、 特別に細工されたマルチパートリクエストが、影響を受けるReactおよびNext.jsのバージョンにおける安全でないデシリアライゼーションを悪用する方法を実証しています 。すべての功績は原作者に帰属します。

コンセプト実証の完全版動画を視聴する ここ.

研究者は、RSCのデシリアライゼーションロジックを操作することで、攻撃者が制御できることを実証した。 Chunk.prototype.then 解決経路により、Blobの逆シリアル化中に攻撃者が制御するロジックが実行される。完全な技術的詳細は、公開されたオリジナルの概念実証（POC）で確認できる。 GitHub Gist @maple3142 による

今すぐコードベースをスキャン

Aikido 、サポート対象の全エコシステムにおいてCVE-2025-55182およびCVE-2025-66478Aikido 。リポジトリを接続してフルスキャンを実行し、脆弱性の影響を迅速に評価してください。Aikido 無料で開始するにはこちらから。

参考文献

Reactチーム。CVE-2025-55182 開示
Vercel セキュリティ通知：CVE-2025-55182 および CVE-2025-66478 について

‍