2025年12月3日、Reactチームは React Server Components(RSC) に、認証なしでリモートコード実行(RCE)が可能になる重大な脆弱性 CVE-2025-55182 を公表しました。CVSSスコアは最大の 10.0、Reactコミュニティでは「React2Shell」とも呼ばれています。
目次
React2Shell(CVE-2025-55182)の概要
この脆弱性は、11 月 29 日、Lachlan Davidson 氏に指摘・報告された脆弱性でReact 19系の react-server-dom-* 系パッケージおよび、それを実装するフレームワーク(とくに Next.js)に影響し、標準設定のままでも攻撃可能 という点が大きな特徴です。
Wiz の調査では、クラウド環境の 39%に脆弱な React/Next.js が存在 するとされており、すでに実際の攻撃も確認されています。
React/Next.js を使ってサーバサイドレンダリングや React Server Components を利用している環境では、緊急度の高い対応が必要 な状況です。
IPAも注意喚起
日本のIPA(情報処理推進機構)も12月9日に注意喚起を発表しており、対象者へのアップデートを推奨しています。
React2Shell(CVE-2025-55182)とは?概要
CVE-2025-55182 は、React Server Components が利用する 「Flight」プロトコル における 安全でないデシリアライズ が原因です。
React Server Functions/RSC は、クライアント側の React からサーバ上の関数を呼び出す仕組みで、クライアント → サーバ間のやり取りは HTTP リクエストにエンコードされた「Flight ペイロード」として送信されます。
問題となっているのは、このペイロードをサーバ側で処理するロジックです。
サーバが受け取ったペイロードの構造を十分に検証しておらずその結果、攻撃者が細工したペイロードがサーバ側の実行ロジックに直接影響 し、任意の JavaScript をサーバ上で実行できてしまう
という状態になっていました。
攻撃への悪用は認証不要で必要なのは 1本の細工された HTTP リクエスト のみ。かつ脆弱性は デフォルト設定 の Next.js/RSC 対応アプリでも成立するため危険性が高く影響が広い脆弱性になります。
Next.js 側では、同じ問題に対して CVE-2025-66478 が割り当てられましたが、最終的に CVE-2025-55182 の重複として却下 されています。
検知上「CVE-2025-66478」と表示されるケースもありますが、実質的には同じ問題を指していると考えてよい状況です。
影響を受けるプロダクトとバージョン
React Server Components関連パッケージ
React公式によると、以下のパッケージが脆弱です。
影響を受けるバージョン
-
react-server-dom-webpack:19.0, 19.1.0, 19.1.1, 19.2.0 -
react-server-dom-parcel:19.0, 19.1.0, 19.1.1, 19.2.0 -
react-server-dom-turbopack:19.0, 19.1.0, 19.1.1, 19.2.0
修正版(パッチ済み)
-
いずれも 19.0.1/19.1.2/19.2.1 以降で修正済み
Next.js
Next.js は RSC を実装している代表的なフレームワークで、App Router を使う構成で影響を受けます。
パッチ適用済みバージョン(React・Next.js側の公表より)
-
15.0.x 系:15.0.5
-
15.1.x 系:15.1.9
-
15.2.x 系:15.2.6
-
15.3.x 系:15.3.6
-
15.4.x 系:15.4.8
-
15.5.x 系:15.5.7
-
16.0.x 系:16.0.7
-
14.3.0-canary.77 以降の canary を利用している場合は、安定版 14.x へダウングレード するよう案内されています。
影響を受けるフレームワーク/バンドラ
React のアナウンスと各社の調査によると、以下のような RSC 対応フレームワーク・バンドラ・プラグインも、脆弱な react-server 実装をバンドルしている可能性が高いとされています。
-
Next.js
-
React Router(unstable RSC API 利用時)
-
Waku
-
Redwood SDK(rwsdk)
-
@parcel/rsc
-
@vitejs/plugin-rsc
-
Expo(RSC 対応部分)
いずれも、各プロジェクトが順次アップデート手順を公開しており、React 公式ブログでも参照先が案内されています。
すでに悪用されている
Wiz、AWS、Datadog など複数のセキュリティベンダが、公開 PoC を用いた実際の攻撃を観測した と報告しています。
Wizが見た攻撃の兆候
Wiz は、自社のセンサーで 12月5日 6:00 UTC 頃からインターネット越しの Next.js アプリや Kubernetes コンテナに対する実際の攻撃 を観測しています。
代表的な挙動は次の通りです。
-
侵入後、シェルを確立し
-
環境変数・ファイルシステム・クラウドインスタンスメタデータから クラウド認証情報を収集
-
とくに AWS クレデンシャルらしき値を Base64 エンコードし、持ち出し準備をしていたケース
-
-
別の環境では、Sliver C2 フレームワーク をインストールしようとするスクリプトが確認
-
少なくとも 2 系統の 仮想通貨マイニングキャンペーン(XMRig 使用) が確認され、それぞれ複数顧客に影響
また、GreyNoise などの観測でも、多数の IP から自動化されたスキャン/攻撃が行われていることが報告されています。
AWSが見た「中国関与グループ」の迅速な悪用
AWS セキュリティブログは、12月3日の脆弱性公開から「数時間以内」に、中国関与の複数のサイバー攻撃グループが React2Shell を悪用し始めた と報告しています。
AWS のハニーポット基盤 MadPot では、次のようなインフラからの攻撃が確認されています。
-
Earth Lamia:ラテンアメリカ・中東・東南アジアの企業・政府機関を狙ってきた中国系グループ
-
Jackpot Panda:東アジア・東南アジア組織を主な標的とする中国系グループ
-
その他、中国インフラに紐づく多数の匿名化ネットワーク由来のトラフィック
これらのグループは、React2Shell だけでなく 他の N-Day 脆弱性(例:CVE-2025-1338)も並行して悪用 しており、
「新しい PoC が公開されるたびにスキャナへ組み込み、複数の脆弱性をまとめてばらまく」という、量とスピード重視の運用 をしていることがわかります。
参照
React2Shell (CVE-2025-55182): Everything You Need to Know About the Critical React Vulnerability








