React Server Componentsの脆弱性(CVE-2025-55182)について
WAF 『Scutum』では、「React Server Componentsの脆弱性」(CVE-2025-55182)を狙った攻撃について影響を受けない状態であることを確認しております。
React Server Componentsの脆弱性(CVE-2025-55182)について
JavaScriptライブラリ「React」のサーバコンポーネントについて、CVSS(v3.1)10.0の極めて危険な脆弱性が確認され、JPCERT/CCの脆弱性情報でも今後の悪用が危惧されています。
React Server Componentsの脆弱性(CVE-2025-55182)について
本脆弱性は、攻撃者がReact Serverコンポーネントの関数エンドポイントに送信されたペイロードをデコードする方法の欠陥を悪用し、細工したHTTPリクエストを送信することで、認証されていないリモートコードの実行を可能にするものです。該当のパッケージを使用している場合、速やかなアップデートが必要です。
詳細および対策についてはこちらをご確認ください。
React.dev:Critical Security Vulnerability in React Server Components
【参考】
本脆弱性に依存する形で、Webアプリケーションフレームワーク「Next.js」についても速やかなアップデートが求められています(https://nextjs.org/blog/CVE-2025-66478)。
※Next.jsの脆弱性についてCVE-2025-66478として扱われた情報もありますが、cve.orgではCVE-2025-55182に統合されています(https://www.cve.org/CVERecord?id=CVE-2025-66478)。
Scutumでの対応について
WAF「Scutum」では2025年12月5日時点で、公開されている情報について既存の防御機能によりブロックしていることを確認しましたが、回避する通信も確認されたため、2025年12月9日時点で、検知ロジックのアップデートを行い、Scutumを経由する通信においては、本脆弱性(CVE-2025-55182)の影響を受けない状態であることを確認いたしました。
2025/12/11追記:
2025/12/9(当記事掲載後)に、IPAからも本脆弱性について緊急の注意喚起が行われました。
https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html
株式会社セキュアスカイ・テクノロジー 「Scutum推進室」
お問い合わせフォーム
TEL:03-3525-8045 (営業時間 平日10:00~18:00)
E-mail:info@scutum.jp
▼WAF「Scutum」は、新たな脆弱性や攻撃手法に対し、スピーディーな対応を続けています。
Spring Frameworkのリモートコード実行の脆弱性を利用した攻撃(CVE-2022-22965)への対応
Spring Cloud Function の脆弱性を利用した攻撃(CVE-2022-22963)への対応
Apache Log4j の脆弱性を利用した攻撃(CVE-2021-44228)への対応
Apache Tomcat の脆弱性を利用した攻撃(CVE-2020-9484)への対応
PHPのFastCGI Process Managerにおける脆弱性を利用した攻撃(CVE-2019-11043)への対応
Oracle WebLogic Server の脆弱性を利用した攻撃(CVE-2019-2725、CVE-2019-2729)への対応
Apache Struts2の脆弱性への対応
Scutumは OWASP Top10 2017 の全項目をカバーしています
WordPress の REST APIの脆弱性への対応
PHPMailerの脆弱性(CVE-2016-10033、CVE-2016-10045)への対応
意図しない「index_old.php」設置(2016/11/14注意喚起)による改ざんへの対応
bashの脆弱性(CVE-2014-6271/CVE-2014-7169、通称 ShellShock)への対応
hash DoSの脆弱性(CVE-2011-4885等)への対応
「キャプチャ認証追加機能」「SMS認証追加機能」について