CDNetworks WAF は、重大な React 脆弱性 CVE-2025-55182 からプロアクティブに保護します。

エグゼクティブサマリー

2025年12月3日（EST）、重大なセキュリティ脆弱性（CVE-2025-55182、CVE-2025-66478）がReactサーバーコンポーネント（RSC）にて発見され、CVSSスコア10.0、最も高い深刻度の評価を受けました。

これに対応するため、CDNetworksは直ちにWebアプリケーションファイアウォール（WAF）に新しい保護ルール（ルール番号9625：React_Server_Components_rce）をデプロイし、この脆弱性に対する防御を行いました。

もしReactサーバーコンポーネントを使用している場合、直ちに以下の対応を強く推奨します：

1. 公式のReactブログに記載されている通り、安全なバージョンのReactにアップグレードする。
2. もし短期的にアップグレードが難しい場合、Webアプリケーションファイアウォール（WAF）を導入し、既知の攻撃シグネチャに基づいて攻撃の試行をブロックする。

脆弱性の概要

この脆弱性は、React Server Components内のFlightプロトコルのデシリアライズロジックに起因しています。問題は、サーバーがクライアントから送信されたシリアライズデータの構造や内容を十分に検証しないことです。そのため、攻撃者は悪意のあるリクエストを作成し、サーバーがそれを処理する際に有害なコマンドを実行させることができます。これにより、セキュリティ制限を回避し、リモートコード実行（RCE）が可能になります。

この脆弱性の利用は非常に簡単で、認証やユーザーの操作は必要ありません。HTTPリクエストを送信できる攻撃者であれば、誰でもこの問題を利用できます。さらに、React Server Components（RSC）はデフォルトで脆弱であるため、攻撃面が大幅に広がり、悪意のある攻撃者が利用しやすくなります。

影響を受けるReact Server Componentsのバージョンは次の通りです：

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack（バージョン19.0.0～19.2.0）

影響を受ける対象

Reactは世界中で広く使用されているフロントエンド開発フレームワークであり、この脆弱性は以下のようなさまざまな環境に影響を与えます：

• Next.jsバージョン15.xおよび16.x（App Routerを使用）
• Next.jsバージョン14.3.0-canary.77以上
• RSC機能を統合している他のフレームワーク（例：Waku、RedwoodJS、Vite RSC Plugin）

注意：クライアントサイドレンダリングのみを使用しているアプリケーションや、Next.jsのページルーター（Pages Router）を使用しているアプリケーションは影響を受けません。

なぜこれは非常に危険なのか

Reactサーバーコンポーネントのデフォルト設定により、多くのアプリケーションは攻撃者による追加の設定なしで脆弱となっています。このため、この問題は攻撃面を大幅に広げています。

公開された概念実証（PoC）コードにより、曝露ウィンドウが急速に広がっており、RSCを使用している組織は直ちに自らのシステムを保護するための対応を取らなければなりません。

私たちのWAFはすでにこの脆弱性を軽減する仮想パッチを公開していますが、それでもなお、公開アクセス可能なアプリケーションを中心に、できるだけ早くReactを最新バージョンに更新することを強く推奨します。

さらにガイダンスやサポートが必要な場合は、サポートチームにお問い合わせください。

CDNetworksインテリジェンステームは引き続き状況を監視し、必要に応じて最新情報を提供します。最新ニュースや更新情報については、ソーシャルメディアでフォローしてください。