ハポソフトの​​ブログへようこそ

Reactチームは、​先週公開された​重大な​修正​（React2Shell）の​有効性を​研究者が​検証する​過程で、​React Server Componentsに​影響する​追加の​セキュリティ​脆弱性が​発見された​ことを​公表しました。​今回新たに​判明した​問題は​リモートコード実行​（RCE）を​可能に​する​ものでは​ありませんが、​サービス拒否​（DoS）​攻撃や​ソースコード漏えいの​可能性など、​深刻なリスクを​引き起こします。​ その​深刻性を​踏まえ、​早急な​アップグレードを​強く​推奨します。​ 新たに​公開された​脆弱性の​概要 セキュリティ研究者は、​CVE-2025-55182の​影響を​受けた​ものと​同一の​React Server Componentsパッケージに​おいて、​2種類の​新たな​脆弱性クラスを​特定しました。​ 高深​刻度：サービス拒否 (DoS) CVE-2025-55184 CVE-2025-67779 CVSS Score: 7.5 (高) 悪意の​ある​細工が​施された​HTTPリクエストを​Server Functionエンドポイントに​送信する​ことで、​デシリアライズ処理中に​無限ループが​発生し、​サーバープロセスが​停止状態と​なり、​CPU リソースを​無制限に​消費する​可能性が​あります。​ 特筆すべき点と​して、​Server Functionsを​明示的に​定義していない​アプリケーションであっても、​React Server Componentsを​サポートしている​場合は​影響を​受ける​可能性が​あります。​ この​脆弱性に​より、​攻撃者は​以下を​引き起こすことが​可能です。​ サービス可用性の​低下・停止 サーバーパフォーマンスの​劣化 インフラ全体​への​連鎖的な​影響の​発生 Reactチームは、​従来の​修正が​不完全で​あった​ことを​確認しており、​最新リリース以前の​一部​修正済みバージ​ョンが​依然と​して​脆弱な​状態であった​ことを​認めています。​ 中深刻度：ソースコード漏えい​ CVE-2025-55183 CVSS スコア: 5.3 (中) 研究者に​より、​特定の​不正な​リクエストに​よって、​Server Functionsが​引数を​明示的または​暗黙的に​文字列化した​際に、​自身の​ソースコードを​返してしまう​可能性が​確認されました。​ これに​より、​以下の​情報が​漏えいする​恐れが​あります。​ Server Functions内に​ハードコードされた​シークレット 内部​ロジックや​実装の​詳細 バンドラーの​挙動に​よっては、​インライン化された​ヘルパー関数 重要な​補足事項：漏えいする​可能性が​あるのは​ソースコードレベルの​シークレットのみであり、​process.env.SECRETなどの​実行時シークレットは​影響を​受けません。​ 影響範囲と​対応が​必要な​対象 影響を​受ける​パッケージおよび​バージョン 本​脆弱性は、​先に​公開された​React Server Componentsの​問題と​同一の​パッケージおよび​バージョン範囲に​影響します。​ 影響を​受ける​パッケージ react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack 脆弱な​バージョン 19.0.0 → 19.0.2 19.1.0 → 19.1.3 19.2.0 → 19.2.2 修正済みバージョン​（アップグレード必須）​ React チームは、​以下の​バージ​ョンに​修正を​バック​ポートしています。​ 19.0.3 19.1.4 19.2.3 影響を​受ける​パッケージを​使用している​場合は、​上記いずれかの​バージョンへ​直ちに​アップグレードしてください。​ ⚠️注意 先週すでに​アップデートを​実施している​場合でも、​再度の​アップグレードが​必要です。​ 19.0.2、​19.1.3、​19.2.2 は​完全には​修正されておらず、​安全では​ありません。​ 影響を​受ける​フレームワークおよび​バンドラー 以下のような​一般的な​フレームワークや​ツールは、​脆弱な​パッケージに​依存、​または​同梱している​可能性が​あります。​ Next.js React Router Waku @parcel/rsc @vite/rsc-plugin rwsdk 各フレームワークの​公式アップグレード手順を​参照し、​正しい​修正済みバージ​ョンが​適用されている​ことを​確認してください。​ 影響を​受けない​ケース 以下の​条件に​該当する​アプリケーションは​影響を​受けません。​ サーバーを​使用していない​アプリケーション React Server Components を​使用していない​アプリケーション RSC を​サポートする​フレームワークや​バンドラーを​使用していない​アプリケーション React Nativeに​関する​注意点 モノレポ構成や​react-domを​使用していない​React Nativeアプリケーションは、​通常これらの​脆弱性の​影響を​受けません。​ モノレポ構成を​採用している​React Nativeプロジェクトの​場合、​以下の​パッケージが​インストールされている​場合に​のみ​更新が​必要です。​ react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack これらの​パッケージの​アップグレードは、​reactや​react-domの​更新を​必要と​せず、​ React Nativeに​おける​バージ​ョン不整合の​問題も​発生しません。​ 推奨される​対策および​緩和戦略 修正済みバージョンへの​アップグレードは​必須ですが、​今回の​脆弱性は、​将来の​リスクを​低減する​ために​対応すべき、​依存関係​管理や​シークレット管理に​おけるより​広範な​課題も​明らかに​しています。​ 即時対応 影響を​受ける​すべての​アプリケーションは、​以下の​修正済みバージョンの​いずれか​へ​直ちに​アップグレードする​必要が​あります。​ 19.0.3 19.1.4 19.2.3 これまでに​公開された​パッチは​不完全で​あり、​ホスティングプロバイダーに​よる​緩和策は​一時的な​防御策に​過ぎません。​修正済みバージョンへの​更新こそが、​唯一の​信頼できる​対策です。​ 依存関係アップデートの​自動化に​よる​露出時間の​短縮 モダンな​ JavaScript エコシステムでは、​すべての​依存関係に​関する​セキュリティアドバイザリを​手動で​追跡する​ことは​困難です。​Renovateや​Dependabotなどの​ツールを​利用する​ことで、​脆弱な​バージョンを​自動検出し、​修正リリースと​同時に​アップグレード用の​Pull Requestを​作成できます。​ これに​より、​対応までの​時間を​短縮し、​本番環境で​部分的に​修正された、​または​古いパッケージを​使い続ける​リスクを​低減できます。​ セキュリティアップデートを​安全に​受け入れられる​CI/CDパイプラインの​整備 頻繁な​依存関係アップデートは、​信頼性の​高い​自動テストが​あって​初めて​安全に​実施できます。​十分な​テストカバレッジを​備えた​ CI/CD パイプラインを​維持する​ことで、​破壊的変更の​リスクを​抑えつつ、​セキュリティ更新を​迅速に​適用できます。​ これに​より、​新たな​脆弱性が​公開された​際の​ 迅速な​是正対応が​可能に​なります。​ 影響範囲​（Blast Radius）を​最小化する​ための​ソースコードからの​シークレット排除 ソースコードに​直接埋め込まれた​シークレットは、​同様の​脆弱性が​再発した​場合に​漏えいする​可能性が​あります。​ 推奨される​対策は​以下の​とおりです。​ AWS SSM Parameter Storeや​AWS Secrets Managerなどの​マネージドサービスを​利用して​シークレットを​管理 ダウンタイムなしで​実施可能な​キーの​ローテーション機構 を​導入 仮に​ソースコードが​露出した​場合でも、​適切に​管理された​実行時シークレットに​より、​実際の​被害は​大きく​抑えられます。​ 重大な​脆弱性公開後に​追加の​ CVE が​発生しやすい​理由 重大な​脆弱性が​公開されると、​研究者が​周辺の​コードパスを​検証する​過程で、​追加の​問題が​見つかる​ことは​珍しく​ありません。​初回の​修正が​リリースされると、​セキュリティ研究者は​亜種の​攻撃手法に​よる​回避を​試みる​傾向が​あります。​このような​流れは​業界全体で​繰り返し見られています。​ 代表的な​例と​して​Log4Shellが​あり、​最初の​公開後に​複数の​追加CVEが​報告されました。​追加の​公開は​煩雑に​感じられる​こともありますが、​通常は​以下を​示しています。​ 積極的な​セキュリティレビュー 責任ある​情報開示 健全な​パッチ適用と​検証の​サイクル ​最終的な​注意事項 一部の​ホスティング事業者は​迅速な​暫定対応を​提供していますが、​それだけでは​十分とは​言えません。​依存関係を​常に​最新の​状態に​保つことが、​サプライチェーンリスクから​身を​守る​最も​有効な​手段で​あり続けます。​ React Server Componentsを​使用している​アプリケーションを​お持ちの​場合は、​ぜひHaposoftまで​ご相談ください。​ 影響範囲の​特定から、​依存関係を​一つずつ​確認し、​最終的に​正しく​ビルドできる​状態まで、​混乱なく​アップデート対応を​サポートします。