JVNDB-2025-021325
|
React Server Components における信頼できないデータのデシリアライゼーションの脆弱性
|
|
React Server Components には、信頼できないデータのデシリアライゼーション (CWE-502、CVE-2025-55182) の脆弱性が存在します。
JPCERT/CC では、本脆弱性の概念実証コード (PoC) がインターネットに公開されていることと、悪用を試行する通信を確認しています。
|
|
|
|
|
Facebook
- React react-server-dom-webpack 19.0.1 より前の 19.0 系
- React react-server-dom-webpack 19.1.2 より前の 19.1 系
- React react-server-dom-webpack 19.2.1 より前の 19.2 系
- React react-server-dom-parcel 19.0.1 より前の 19.0 系
- React react-server-dom-parcel 19.1.2 より前の 19.1 系
- React react-server-dom-parcel 19.2.1 より前の 19.2 系
- React react-server-dom-turbopack 19.0.1 より前の 19.0 系
- React react-server-dom-turbopack 19.1.2 より前の 19.1 系
- React react-server-dom-turbopack 19.2.1 より前の 19.2 系
parceljs.org
RedwoodJS
Remix
Vercel, Inc. (旧 Zeit, Inc.)
- Next.js 16.0.7 より前
- Next.js 15.5.7 より前
- Next.js 15.4.8 より前
- Next.js 15.3.6 より前
- Next.js 15.2.6 より前
- Next.js 15.1.9 より前
- Next.js 15.0.5 より前
- Next.js 14.3.0-canary.77 およびそれ以降の canary リリース
- Next.js
vitejs
Waku
|
[React]
なお、React Server Function エンドポイントを実装していなくても、React Server Components をサポートしている場合、本脆弱性の影響を受ける可能性があります。
[Reactの関連フレームワークなど]
一部の React フレームワークおよびバンドラーは、本脆弱性の影響を受ける React パッケージに依存するなどの理由から影響を受けます。
|
|
遠隔の攻撃者が細工された HTTP リクエストを React Server Components を処理するサーバに送信した場合、認証無しで任意のコードを実行される可能性があります。
|
|
[アップデートする]
各開発者が提供する情報をもとに、最新版にアップデートしてください。
|
|
Facebook
Vercel, Inc. (旧 Zeit, Inc.)
|
|
- 信頼できないデータのデシリアライゼーション(CWE-502) [その他]
|
|
- CVE-2025-55182
|
|
- JVN : JVNVU#91640936
- National Vulnerability Database (NVD) : CVE-2025-55182
- 関連文書 : JPCERT/CC CyberNewsFlash 2025-12-05
- 関連文書 : Wiz
|
|
|
