--12/12更新①------------------------------------------------------------
既に国内において本脆弱性を悪用した攻撃が確認されています。
至急、Webサイト/Webシステム管理者は次の対応を行ってください。
・ 所管するシステム・サーバが本脆弱性の影響を受けるか確認
・ 脆弱性の影響を受ける場合は、アップデート等の対策の実施
--12/12更新②------------------------------------------------------------
新たに、サービス拒否の脆弱性(CVE-2025-55184、CVE-2025-67779)およびソースコード漏洩の脆弱性(CVE-2025-55183)が発見されたとのことです。
本情報発信の対象である、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)の対応に合わせ、これらの脆弱性にも対処することをご検討ください。
以前に公開されたパッチでは不十分であり、さらに新しいバージョンの適用が必要とのことです。
詳細については、開発者のページ(Denial of Service and Source Code Exposure in React Server Components)をご確認ください。
------------------------------------------------------------------------------
https://www.jpcert.or.jp/newsflash/2025120501.html
引用元: JPCERTコーディネーションセンター CyberNewsFlash
詳細、最新情報については、上記引用元を参照ください。
以下に概要を抜粋しております。
概要
次のように、React Server Componentsにおける緊急度の高い脆弱性情報が公開されております。
Webサイト管理者・システム管理者は、ただちに所管システムが本脆弱性の影響を受けるか確認し、影響を受ける場合はすみやかに対応を行ってください。
詳細はリンク先のJPCERT/CCサイトなどでご確認ください。
--------------------------------------------------------------------------------
2025年12月3日(現地時間)、React Server Componentsにおける認証不要のリモートコード実行の脆弱性(CVE-2025-55182)が公開されました。攻撃者が細工したHTTPリクエスト(HTTP経由の不正なFlightペイロード)をReact Server Components(RSC)を処理するサーバーに送信することで、認証不要のリモートコード実行につながる可能性があります。
なお、JPCERT/CCでは有効な概念実証(PoC)コードの公開を確認しました。
今後本脆弱性が悪用される可能性が高まっていると考えられます。
本脆弱性の影響を受ける製品を利用している場合は、後述「III. 対策」に記載の情報を確認の上、対策の実施を検討してください。
** 更新: 2025年12月10日 ******************************************
本脆弱性は、CNF公開時点では悪用が確認されていませんでしたが、その後、複数のセキュリティベンダーなどから悪用事例が報告されています。また、JPCERT/CCの調査においても本脆弱性の国内での悪用を確認しています。新たに追記した「IV. 侵害検出方法」などを参考に、自組織において不審な通信が発生していないかなどの確認と早期の対策の実施を推奨します。
** 更新終了 ******************************************************
JPCERT/CC CyberNewsFlash
https://www.jpcert.or.jp/newsflash/2025120501.html
