React Server Components(RSC)において、複数のサービス不能(DoS)脆弱性が残っていたとして、GitHub Security Advisory(GHSA)とReactチームが注意喚起しました。
脆弱性の概要
CVE-2026-23864(High、CVSS 7.5)を含むRSC関連のDoS脆弱性は、ReactのServer Function(サーバー関数)エンドポイントに対して特別に細工されたHTTPリクエストを送ることで誘発されます。結果として、サーバープロセスがハングしてCPUを消費し続けたり、構成やコードパスによってはクラッシュやメモリ枯渇が発生したりする可能性があります。
今回の脆弱性は、RSC(およびServer Function)を扱う構成で問題になります。Reactチームは、前回のDoS対策として更新した場合でも、19.0.3 / 19.1.4 / 19.2.3 に更新した環境は修正が不完全で、再度更新が必要だと説明しています。
一方で、アプリのReactコードがサーバーを使わない場合や、RSCをサポートするフレームワーク/バンドラ(またはプラグイン)を使っていない場合は、影響を受けないとされています。
脆弱性の対象バージョン
対象は、以下3パッケージの 19.0.0〜19.2.3(列挙された各バージョン) です。
-
react-server-dom-webpack:19.0.0, 19.0.1, 19.0.2, 19.0.3, 19.1.0, 19.1.1, 19.1.2, 19.1.3, 19.1.4, 19.2.0, 19.2.1, 19.2.2, 19.2.3
-
react-server-dom-parcel:19.0.0, 19.0.1, 19.0.2, 19.0.3, 19.1.0, 19.1.1, 19.1.2, 19.1.3, 19.1.4, 19.2.0, 19.2.1, 19.2.2, 19.2.3
-
react-server-dom-turbopack:19.0.0, 19.0.1, 19.0.2, 19.0.3, 19.1.0, 19.1.1, 19.1.2, 19.1.3, 19.1.4, 19.2.0, 19.2.1, 19.2.2, 19.2.3
対策バージョン
修正は以下にバックポートされており、いずれかの修正版へ更新することが推奨されています。
-
19.0.4
-
19.1.5
-
19.2.4








