F5 Labsは2026年1月28日公開の週次脅威情報で、React Server Components(RSC)と、それを利用するNext.jsなどのフレームワークに影響する脆弱性 CVE-2025-55182 が実際にサイバー攻撃悪用されているとして注意喚起しました。
問題はRSCの「Flight」プロトコルにおける安全でないデシリアライゼーション(不正な復元処理)に起因し、認証前(pre-auth)に細工したHTTPリクエストを送るだけでサーバー上で任意コード実行(RCE)に至る可能性があるとされています。
目次
想定される影響
F5 Labsによると、攻撃者はRSCのServer Functionエンドポイントに対して細工したリクエストを送ることで、サーバー側でコード実行に到達し得ます。観測されている悪用では、クラウド認証情報の窃取、暗号資産マイニング、各種マルウェア展開などが挙げられています。
この脆弱性はReactコミュニティでは「React2Shell」とも呼ばれ、AWSは即日悪用を警告していました。
脆弱性の対象バージョン
影響を受けるのは React Server Components(RSC)19.0.0、19.1.0、19.1.1、19.2.0(react-server-dom-parcel / react-server-dom-turbopack / react-server-dom-webpack を含む)で、加えて Next.js 15.x、16.x、(14.3.0以降の)Canaryビルドも対象とされています。
脆弱性の対策バージョン
、React側は 19.0.1、19.1.2、19.2.1 で修正が提供され、Next.jsも更新版が案内されています。
まずは該当パッケージ/フレームワークを修正版へ即時アップデートすることが推奨されています。
なぜ危険度が高いのか
この脆弱性は「ネットワーク経由・低難易度・認証不要」で到達し得る点が重く、F5 LabsはReactやNext.jsの普及率を踏まえ、
多数のインスタンスが影響を受け得るとしています(例:React利用比率や、脆弱な配置の広がりに関する言及など)。
推奨される緩和策(アップデートまでの防御も含む)
F5 Labsは、パッチ適用に加えて次の多層防御を推奨しています。
-
資産棚卸し:Next.js/RSC利用箇所を洗い出し、露出範囲を把握
-
即時アップデート:React/Next.jsを修正版へ更新(最優先)
-
WAFでの遮断:デシリアライゼーション悪用を狙う不審なHTTPリクエストをブロック
-
ネットワーク分離:インターネット公開のWeb層と内部ネットワークを分離し、横展開を抑止
-
レート制限:自動スキャンや総当たりを想定した強めの制限を適用
-
コンテナ堅牢化:non-root実行、read-only filesystem等で被害を局所化
侵害指標(IOC:F5 Labs掲載)
誤クリック防止のため、ドメインは[.]、URLはhxxp(s)://表記にしています(内容はF5 Labsの掲載情報に基づきます)。
攻撃に関連するとされたマルウェア名(例)
Agenda / AgendaCrypt / BPFDoor / Cobalt Strike / Mirai / Nezha / Sliver / XMRig など(F5 Labsが列挙)
CVE(同週次情報内で併記されたものを含む)
CVE-2025-55182(本件)ほか、CVE-2025-55183、CVE-2025-55184 等
攻撃元IP(抜粋)
112.134.208.214
134.122.136.119 / 134.122.136.96
146.70.124.165 / 146.70.124.188
162.215.170.26
193.233.201.12
195.20.17.253
23.235.188.3
45.83.181.160
51.81.104.115
5.255.121.141
(ほか多数)
ドメイン(抜粋)
2f7ac6[.]ceye[.]io
5axzi7[.]dnslog[.]cn
ns1[.]bafairforce[.]army
ns1[.]ubunutpackages[.]store
*.oast[.]fun / *.oast[.]live / *.oast[.]me / *.oast[.]online / *.oast[.]pro / *.oast[.]site / *.oast[.]today
raw[.]githubusercontent[.]com
testing[.]caai[.]in
vps-zap812595-1[.]zap-srv[.]com
URL(抜粋)
hxxp://162.215.170.26:3000/sex.sh
hxxp://23.235.188.3:652/qMqSb
hxxp://46.36.37.85:12000/sex.sh
hxxp://51.81.104.115/nuts/bolts (ほか /poop /x86)
hxxp://5.255.121.141/nuts/bolts (ほか /poop /x86)
hxxps://github.com/tesweva/Nextjs-RCE-Exploit-Kit.git
hxxps://sploitus.com/exploit?id=3B6E5425-973F-56B4-AC0A-FA3EDC02389C
hxxp://45.83.181.160:8003/frpc.toml
hxxps://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh
ハッシュ(抜粋)
172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32
2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96
3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956
4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354
(ほか)
出典








