本日報告された脆弱性
React Server Componentsのリモートコード実行脆弱性
ReactはMetaがオープンソース化した、ユーザーインターフェース構築用のJavaScriptライブラリです。「React Server Components」(RSC)アーキテクチャは、コンポーネントをサーバー側でレンダリングし、出力をシリアライズして「Flight」プロトコルによりJSONのようなストリーム形式でクライアントに送信することで、クライアント側のJavaScriptボリュームをゼロにしたインタラクティブな体験を実現します。
(CVE-2025-55182)およびNext.jsのリモートコード実行脆弱性(CVE-2025-66478)は、主にreact-server-dom-webpackのServer Actions機能に影響します。クライアントから送信されたフォームを解析する際にセキュリティチェックが欠如しているため、攻撃者は悪意のあるフォームリクエストを構築し、Node.jsの組み込みモジュールを直接呼び出して、サーバー上で任意のシステムコマンドを実行したり、任意のファイルを読み書きしたり、サービスを完全に乗っ取ったりすることが可能です。また、Next.js 15.xおよび16.xのバージョンでは、App Routerを使用する際に欠陥のあるReactサーバー側DOMパッケージに依存しているため、攻撃者は同様に悪意のあるコードを注入してリモートでコマンドを実行できます。
影響範囲:
react-server-dom-parcel:19.0.0、19.1.0、19.1.1、19.2.0
react-server-dom-webpack:19.0.0、19.1.0、19.1.1、19.2.0
react-server-dom-turbopack:19.0.0、19.1.0、19.1.1、19.2.0
Next.js ≥14.3.0-canary.77、≥15、≥16
公式が修正版をリリース済みです。具体的なアップグレード方法は公式セキュリティ公告をご参照ください: