ReactにCVSSスコア最大値10の深刻な脆弱性 どんな影響があるのか？：すぐに更新を

「React」のサーバコンポーネントに深刻な脆弱性が発表された。Reactのバージョン19や「Next.js」などは至急更新する必要がある。

[＠IT]

　オープンソースのフロントエンドJavaScriptライブラリ「React」の開発チームは2025年12月3日（米国時間）、「React Server Components」（RSC）を利用するアプリケーションに、認証なしでリモートコードが実行できる深刻な脆弱（ぜいじゃく）性「CVE-2025-55182」が存在すると公表し、即時アップデートを推奨した。

CVSSスコア最大値10、どんな影響があるのか？

　Reactは、フレームワークやバンドラがクライアントとサーバの両方でReactコードを実行できるようにするための統合ポイントとツールを提供する。RSCを使用すると、クライアントはサーバ上の関数を呼び出すことができる。Reactはクライアント上のリクエストをHTTPリクエストに変換し、サーバに転送する。Reactはサーバ上でHTTPリクエストを関数呼び出しに変換し、必要なデータをクライアントに返す。

　攻撃者は、悪意のあるHTTPリクエストを作成してRSCを処理するサーバに送信することで、認証不要のリモートコードを実行できる可能性がある。

　共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）のスコアは最大値の10で、影響範囲はReactのバージョン19や「Next.js」のような一部フレームワークに及ぶ。

影響があるパッケージのバージョン

　脆弱性は、以下のパッケージのバージョン「19.0」「19.1.0」「19.1.1」「19.2.0」に存在する。

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

　修正版はそれぞれ「19.0.1」「19.1.2」「19.2.1」として公開済みで、該当するパッケージを利用している開発者や運用担当者には、迅速にいずれかの修正版にアップグレードするよう求めている。

影響があるフレームワーク

　以下のReactフレームワークおよびバンドラも影響を受ける可能性がある。

• Next.js
  • 16.0.x
  • 15.0.x〜15.5.x
  • 14.3.0-canary.77以降のcanaryリリース
• React Router
• Waku
• @parcel/rsc
• @vitejs/plugin-rsc
• RedwoodSDK
• Expo

　Next.jsの詳細なアップデート手順は、Next.jsの変更ログを参照のこと。