検索
ニュース

ReactにCVSSスコア最大値10の深刻な脆弱性 どんな影響があるのか?すぐに更新を

「React」のサーバコンポーネントに深刻な脆弱性が発表された。Reactのバージョン19や「Next.js」などは至急更新する必要がある。

Share
Tweet
LINE
Hatena

 オープンソースのフロントエンドJavaScriptライブラリ「React」の開発チームは2025年12月3日(米国時間)、「React Server Components」(RSC)を利用するアプリケーションに、認証なしでリモートコードが実行できる深刻な脆弱(ぜいじゃく)性「CVE-2025-55182」が存在すると公表し、即時アップデートを推奨した。

CVSSスコア最大値10、どんな影響があるのか?

 Reactは、フレームワークやバンドラがクライアントとサーバの両方でReactコードを実行できるようにするための統合ポイントとツールを提供する。RSCを使用すると、クライアントはサーバ上の関数を呼び出すことができる。Reactはクライアント上のリクエストをHTTPリクエストに変換し、サーバに転送する。Reactはサーバ上でHTTPリクエストを関数呼び出しに変換し、必要なデータをクライアントに返す。

 攻撃者は、悪意のあるHTTPリクエストを作成してRSCを処理するサーバに送信することで、認証不要のリモートコードを実行できる可能性がある。

 共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)のスコアは最大値の10で、影響範囲はReactのバージョン19や「Next.js」のような一部フレームワークに及ぶ。

影響があるパッケージのバージョン

 脆弱性は、以下のパッケージのバージョン「19.0」「19.1.0」「19.1.1」「19.2.0」に存在する。

 修正版はそれぞれ「19.0.1」「19.1.2」「19.2.1」として公開済みで、該当するパッケージを利用している開発者や運用担当者には、迅速にいずれかの修正版にアップグレードするよう求めている。

影響があるフレームワーク

 以下のReactフレームワークおよびバンドラも影響を受ける可能性がある。

 Next.jsの詳細なアップデート手順は、Next.jsの変更ログを参照のこと。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る