React Server Componentsにおける脆弱性について（CVE-2025-55182）

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。

このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性（CVE-2025-55182）が確認されています。

本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。

なお、「Next.js」など他製品において、同様の影響を受けます。

今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。

影響を受けるシステム

• react-server-dom-webpack 19.0
• react-server-dom-webpack 19.1.0
• react-server-dom-webpack 19.1.1
• react-server-dom-webpack 19.2.0
• react-server-dom-parcel 19.0
• react-server-dom-parcel 19.1.0
• react-server-dom-parcel 19.1.1
• react-server-dom-parcel 19.2.0
• react-server-dom-turbopack 19.0
• react-server-dom-turbopack 19.1.0
• react-server-dom-turbopack 19.1.1
• react-server-dom-turbopack 19.2.0

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。

• react-server-dom-webpack 19.0.1
• react-server-dom-webpack 19.1.2
• react-server-dom-webpack 19.2.1
• react-server-dom-parcel 19.0.1
• react-server-dom-parcel 19.1.2
• react-server-dom-parcel 19.2.1
• react-server-dom-turbopack 19.0.1
• react-server-dom-turbopack 19.1.2
• react-server-dom-turbopack 19.2.1

参考情報

• Critical Security Vulnerability in React Server Components
• RCE in React Server Components