React Server Components/Next.jsの脆弱性(React2Shell:CVE-2025-55182)がサイバー攻撃へ悪用-F5 Labsが警告

セキュリティニュース

投稿日時: 更新日時:

React Server Components/Next.jsの脆弱性(React2Shell:CVE-2025-55182)がサイバー攻撃へ悪用-F5 Labsが警告

F5 Labsは2026年1月28日公開の週次脅威情報で、React Server Components(RSC)と、それを利用するNext.jsなどのフレームワークに影響する脆弱性 CVE-2025-55182 が実際にサイバー攻撃悪用されているとして注意喚起しました。

問題はRSCの「Flight」プロトコルにおける安全でないデシリアライゼーション(不正な復元処理)に起因し、認証前(pre-auth)に細工したHTTPリクエストを送るだけでサーバー上で任意コード実行(RCE)に至る可能性があるとされています。

想定される影響

F5 Labsによると、攻撃者はRSCのServer Functionエンドポイントに対して細工したリクエストを送ることで、サーバー側でコード実行に到達し得ます。観測されている悪用では、クラウド認証情報の窃取、暗号資産マイニング、各種マルウェア展開などが挙げられています。

この脆弱性はReactコミュニティでは「React2Shell」とも呼ばれ、AWSは即日悪用を警告していました。

脆弱性の対象バージョン

影響を受けるのは React Server Components(RSC)19.0.0、19.1.0、19.1.1、19.2.0react-server-dom-parcel / react-server-dom-turbopack / react-server-dom-webpack を含む)で、加えて Next.js 15.x、16.x、(14.3.0以降の)Canaryビルドも対象とされています。

脆弱性の対策バージョン

、React側は 19.0.1、19.1.2、19.2.1 で修正が提供され、Next.jsも更新版が案内されています。

まずは該当パッケージ/フレームワークを修正版へ即時アップデートすることが推奨されています。

なぜ危険度が高いのか

この脆弱性は「ネットワーク経由・低難易度・認証不要」で到達し得る点が重く、F5 LabsはReactやNext.jsの普及率を踏まえ、

多数のインスタンスが影響を受け得るとしています(例:React利用比率や、脆弱な配置の広がりに関する言及など)。

推奨される緩和策(アップデートまでの防御も含む)

F5 Labsは、パッチ適用に加えて次の多層防御を推奨しています。

  • 資産棚卸し:Next.js/RSC利用箇所を洗い出し、露出範囲を把握

  • 即時アップデート:React/Next.jsを修正版へ更新(最優先)

  • WAFでの遮断:デシリアライゼーション悪用を狙う不審なHTTPリクエストをブロック

  • ネットワーク分離:インターネット公開のWeb層と内部ネットワークを分離し、横展開を抑止

  • レート制限:自動スキャンや総当たりを想定した強めの制限を適用

  • コンテナ堅牢化:non-root実行、read-only filesystem等で被害を局所化

侵害指標(IOC:F5 Labs掲載)

誤クリック防止のため、ドメインは[.]、URLはhxxp(s)://表記にしています(内容はF5 Labsの掲載情報に基づきます)。

攻撃に関連するとされたマルウェア名(例)

Agenda / AgendaCrypt / BPFDoor / Cobalt Strike / Mirai / Nezha / Sliver / XMRig など(F5 Labsが列挙)

CVE(同週次情報内で併記されたものを含む)

CVE-2025-55182(本件)ほか、CVE-2025-55183、CVE-2025-55184 等

攻撃元IP(抜粋)

112.134.208.214
134.122.136.119 / 134.122.136.96
146.70.124.165 / 146.70.124.188
162.215.170.26
193.233.201.12
195.20.17.253
23.235.188.3
45.83.181.160
51.81.104.115
5.255.121.141
(ほか多数)

ドメイン(抜粋)

2f7ac6[.]ceye[.]io
5axzi7[.]dnslog[.]cn
ns1[.]bafairforce[.]army
ns1[.]ubunutpackages[.]store
*.oast[.]fun / *.oast[.]live / *.oast[.]me / *.oast[.]online / *.oast[.]pro / *.oast[.]site / *.oast[.]today
raw[.]githubusercontent[.]com
testing[.]caai[.]in
vps-zap812595-1[.]zap-srv[.]com

URL(抜粋)

hxxp://162.215.170.26:3000/sex.sh
hxxp://23.235.188.3:652/qMqSb
hxxp://46.36.37.85:12000/sex.sh
hxxp://51.81.104.115/nuts/bolts (ほか /poop /x86)
hxxp://5.255.121.141/nuts/bolts (ほか /poop /x86)
hxxps://github.com/tesweva/Nextjs-RCE-Exploit-Kit.git
hxxps://sploitus.com/exploit?id=3B6E5425-973F-56B4-AC0A-FA3EDC02389C
hxxp://45.83.181.160:8003/frpc.toml
hxxps://raw.githubusercontent.com/C3Pool/xmrig_setup/master/setup_c3pool_miner.sh

ハッシュ(抜粋)

172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32
2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96
3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956
4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354
(ほか)

出典

Weekly Threat Bulletin – January 28th, 2026