JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を

JavaScriptライブラリ「React」のサーバコンポーネントに深刻な脆弱性が明らかとなった。依存関係があるプログラムも含め、すぐに対策を講じるよう利用者に注意が呼びかけられている。

「React Server Components」において、信頼できないデータをデシリアライズする脆弱性「CVE-2025-55182」が明らかとなったもの。認証は不要で細工したHTTPリクエストを処理した際、リモートよりコードを実行されるおそれがある。

バグバウンティプログラムを通じて2025年11月29日に報告を受けた。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

「Server関数」を利用していない場合も「React Server Components」が導入されている構成では影響を受ける。

開発チームは、脆弱性を修正した「同19.2.1」「同19.1.2」「同19.0.1」をリリース。早急にアップデートを実施するよう利用者に呼びかけている。

「Next.js」「Waku」「Redwood SDK」のほか、「React Server Components」のプラグインを導入しているなど、同パッケージに依存関係がある環境などもあわせて注意が必要。

（Security NEXT - 2025/12/04 ）ツイート