React Server Componentsにおける脆弱性について（CVE-2025-55182）

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。  
このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）が確認されています。

本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。

なお、「Next.js」など他製品において、同様の影響を受けます。

--- 2025年 12 月 10 日更新 ---
本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。
今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。

--- 2025年 12 月 12 日更新 ---
新たに、サービス拒否の脆弱性（CVE-2025-55184、CVE-2025-67779）およびソースコード漏洩の脆弱性（CVE-2025-55183）が発見されたとのことです。
本情報発信の対象である、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）の対応に合わせ、これらの脆弱性にも対処することをご検討ください。
詳細については、開発者のページ（Denial of Service and Source Code Exposure in React Server Components）をご確認ください。

影響を受けるシステム

• react-server-dom-webpack 19.0
• react-server-dom-webpack 19.1.0
• react-server-dom-webpack 19.1.1
• react-server-dom-webpack 19.2.0
• react-server-dom-parcel 19.0
• react-server-dom-parcel 19.1.0
• react-server-dom-parcel 19.1.1
• react-server-dom-parcel 19.2.0
• react-server-dom-turbopack 19.0
• react-server-dom-turbopack 19.1.0
• react-server-dom-turbopack 19.1.1
• react-server-dom-turbopack 19.2.0

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• react-server-dom-webpack 19.0.1
• react-server-dom-webpack 19.1.2
• react-server-dom-webpack 19.2.1
• react-server-dom-parcel 19.0.1
• react-server-dom-parcel 19.1.2
• react-server-dom-parcel 19.2.1
• react-server-dom-turbopack 19.0.1
• react-server-dom-turbopack 19.1.2
• react-server-dom-turbopack 19.2.1

参考情報

• Critical Security Vulnerability in React Server Components
• RCE in React Server Components
• Reactの脆弱性を狙った攻撃の観測 | LAC WATCH
• React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社
• 「React2Shell」（CVE-2025-55182）の攻撃観測と感染するマルウェアを解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社
• Denial of Service and Source Code Exposure in React Server Components