CVE-2025-55182（React2Shell）とはどのような脆弱性ですか？

CVE-2025-55182は、React Server Componentsが利用するReact Server Flightプロトコルにおける不適切なペイロード処理が原因で、認証されていない攻撃者が細工したHTTPリクエストを送信するだけでサーバー上で任意コードを実行できてしまうリモートコード実行脆弱性です。CVSS基本値は10.0と評価されており、非常に深刻な問題とされています。

どのような環境・製品がCVE-2025-55182の影響を受けますか？

React 19系のreact-server-dom-*パッケージ（react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack）の特定バージョンと、それらを利用するNext.js、React Router、Waku、Expo、Redwood SDK、@parcel/rsc、@vitejs/plugin-rscなどのフレームワークやバンドラーが影響を受けます。クライアント側だけでReactを利用しているアプリ（サーバー機能を持たないSPAなど）は基本的に影響を受けません。

この脆弱性はすでに悪用されていますか？

はい。AWSや複数のセキュリティベンダーの報告によると、CVE-2025-55182は公開から数時間以内に中国関与とみられる攻撃グループに悪用され始め、インターネット上で広範なスキャンや侵入の試みが観測されています。また、CISAのKnown Exploited Vulnerabilitiesカタログにも登録されており、実運用環境での悪用が確認されていることを示しています。

CVE-2025-55182に対してすぐに取るべき対策は何ですか？

まず、Reactおよび利用中のフレームワーク（Next.jsなど）のバージョンを確認し、Reactチームや各ベンダが提示する修正版へ速やかにアップデートしてください。あわせて、WAFやCDNが提供する専用シグネチャを有効化し、ログを確認して不審なアクセスやRCEの痕跡がないかを確認することが推奨されます。

パッチを適用すれば完全に安全になりますか？

パッチ適用は必須ですが、すでに悪用されていた場合には、侵害の有無を確認する調査が別途必要です。公開日以降のアクセスログやプロセス、改ざんの痕跡を確認し、必要に応じてインシデントレスポンス手順に沿って対応してください。また、今後のゼロデイに備え、資産管理やパッチ管理プロセスを見直すことも重要です。

CVE-2025-55182とは？脆弱性の内容・影響範囲と対策方法まとめ

JavaScript UIライブラリ「React」のServer Components（RSC）に、認証不要でリモートコード実行が可能になる重大な脆弱性「CVE-2025-55182（通称 React2Shell）」が報告されています。この記事では、2025-12-08時点で公表されている情報をもとに、脆弱性の内容と影響範囲、今すぐ実施すべき対策を整理します。自社サービスでReact Server ComponentsやNext.jsを利用している場合は、緊急度の高いインシデントと考えて対応してください。

1. CVE-2025-55182（React2Shell）の概要
1. 認証不要のRCEを引き起こすReact Server Componentsの欠陥
2. 影響範囲：どの製品・構成が狙われるのか
1. 影響を受けるReactパッケージとバージョン
3. 想定される被害シナリオ
1. サーバーの乗っ取りからサプライチェーン攻撃まで
4. 具体的な対策方法：緊急チェックリスト
1. ① バージョン確認とパッチ適用
2. ② 一時的な緩和策（WAF・アクセス制御など）
5. 組織として今すぐやるべきこと
1. インシデントレスポンス体制と資産管理の見直し

1. CVE-2025-55182（React2Shell）の概要

認証不要のRCEを引き起こすReact Server Componentsの欠陥

CVE-2025-55182は、React Server Componentsが利用する「React Server Flight」プロトコルにおけるペイロードのデシリアライゼーション処理の欠陥により、認証されていない攻撃者にリモートコード実行（RCE）を許してしまう脆弱性です。

React公式ブログによると、攻撃者は細工したHTTPリクエスト（不正なFlightペイロード）をServer Functionエンドポイントに送ることで、アプリケーションサーバー上で任意コードを実行できる可能性があります。アプリ側でServer Functionを明示的に実装していなくても、React Server Componentsをサポートしているだけで影響を受けることがある点が特に危険です。

項目	内容	補足
CVE ID	CVE-2025-55182（通称 React2Shell）	Next.js側ではCVE-2025-66478としても言及されるが、後に重複として扱われている。
影響コンポーネント	React Server Components / React Server Flightプロトコル	react-server-dom-* パッケージ群が対象。
脆弱性の種類	認証不要のリモートコード実行（RCE）	細工されたペイロードの危険なデシリアライゼーションに起因。
CVSS基本値	10.0（Critical）	最高レベルの深刻度として評価。
悪用状況	CISA KEVに登録済み、複数の攻撃グループによる悪用観測	既知の悪用脆弱性カタログに掲載されており、実際の攻撃も報告。

クライアント側だけのReact利用（サーバーを伴わないSPAなど）は基本的に影響を受けません。
React Server Componentsを有効化しているフレームワーク（Next.jsなど）は、明示的にServer Functionを実装していなくても危険です。
CVSS 10.0かつ実際の悪用が確認されており、「放置すれば侵害前提」のレベルと捉えるべきです。

CVE-2025-55182により攻撃者が細工したHTTPリクエストを送信しサーバー上でコード実行に至るまでの概念図 — CVE-2025-55182（React2Shell）は、React Server Componentsが受け取るHTTPペイロード処理の欠陥を突いて、認証なしにサーバー上でコードを実行させる典型的なRCE脆弱性です（概念図）。

2. 影響範囲：どの製品・構成が狙われるのか

影響を受けるReactパッケージとバージョン

React公式は、脆弱性が存在するパッケージとバージョンを次のように示しています。

パッケージ	脆弱なバージョン	修正版（例）
react-server-dom-webpack	19.0.0 / 19.1.0 / 19.1.1 / 19.2.0	19.0.1 / 19.1.2 / 19.2.1 以降
react-server-dom-parcel	19.0.0 / 19.1.0 / 19.1.1 / 19.2.0	最新版への更新が必要
react-server-dom-turbopack	19.0.0 / 19.1.0 / 19.1.1 / 19.2.0	最新版への更新が必要

また、Reactチームは次のフレームワーク・バンドラーが影響を受けると明示しています。

Next.js
React Router（RSCの不安定API利用時）
Waku
Redwood SDK（rwsdk）
@parcel/rsc
@vitejs/plugin-rsc など

いま開催中の楽天セールで、セキュリティ対策用のバックアップメディアやネットワーク機器も合わせて見直してみてください。

楽天のプライベート商品を確認！

React 19系かつ、Server Componentsを有効化している構成が特に危険です。
Next.jsはApp Router利用時の一部バージョン（14.3.0-canary.77以降のカナリ版や15系・16系）で影響が確認されています。
クラウドプロバイダ（AWSなど）は、自社環境における影響評価と緩和策を公表しているため、利用中のプラットフォームのアドバイザリも必ず確認しましょう。

3. 想定される被害シナリオ

サーバーの乗っ取りからサプライチェーン攻撃まで

この脆弱性は「認証不要RCE」であるため、インターネットに公開されたアプリケーションサーバーが直接攻撃対象になります。AWSなどの報告によれば、中国関与とされる脅威グループが公開直後からスキャンと悪用を開始しており、実際の侵入に利用されているケースも確認されています。

シナリオ	内容	主なリスク
Webアプリ改ざん	攻撃者がサーバー上で任意コードを実行し、アプリの挙動を書き換える。	不正なスクリプトの挿入、フィッシングページ化、マルウェア配布など。
機密情報の窃取	アプリケーションサーバーから環境変数やDB資格情報を盗み出す。	ユーザー情報・APIキー・内部システムへの横展開。
ランサムウェア／クリプトマイナー設置	RCEを起点にランサムウェアやマイニングマルウェアを展開。	サービス停止、リソースの不正利用、クラウド請求額の急増。
サプライチェーン攻撃	CI/CD環境やパッケージ配布基盤まで横展開される。	自社だけでなく、顧客・利用者への二次被害を引き起こす可能性。

公開直後からPoCが出回っており、自動スキャンツールも複数登場しています。
脆弱なままインターネット公開されているアプリは、「ランダムスキャンで見つかって攻撃される」リスクが非常に高い状態です。
攻撃の痕跡が目立たないケースも多く、「侵害されてから気づく」パターンになりやすいため、予防的なパッチ適用が必須です。

4. 具体的な対策方法：緊急チェックリスト

① バージョン確認とパッチ適用

まずは、Reactおよび利用中フレームワークのバージョンを確認し、公式が案内する修正版にアップデートします。Reactチームは、react-server-dom-* パッケージの19.0.1 / 19.1.2 / 19.2.1 への更新を推奨しています。

対象	対策の例	ポイント
React単体利用	react / react-dom / react-server-dom-* を最新版へ更新。	package.jsonとlockファイル（package-lock.json / pnpm-lock.yamlなど）を両方更新。
Next.js	Next.jsの各マイナーバージョンごとに用意されたパッチ版へアップグレード、または14系安定版へダウングレード。	App Router利用有無とバージョンを確認し、公式のアドバイザリに従う。
その他フレームワーク	React Router / Waku / Expo / Redwood SDK などの公式ドキュメントを参照し、推奨バージョン以上へ引き上げ。	パッチの提供状況は随時更新されるため、最新情報の確認が重要。

② 一時的な緩和策（WAF・アクセス制御など）

パッチ適用まで時間がかかる場合、クラウドプロバイダやCDN/WAFベンダが提供するシグネチャによるブロックルールを有効化することで、悪用の一部を防げる可能性があります。ただし、React公式も「緩和策に頼らず必ずアップデートすべき」と明言しているため、あくまで一時的な措置と考えてください。

React / Next.jsなどのバージョン確認とパッチ適用を最優先で実施。
パッチ適用までの間、WAFシグネチャやIPレピュテーションによるブロックを有効化。
サーバーログや監視ツールで、異常なRSC関連リクエストやコマンド実行痕跡がないかを確認。

5. 組織として今すぐやるべきこと

インシデントレスポンス体制と資産管理の見直し

この種のゼロデイ級RCEに対処するには、「どこで何を動かしているか」を把握していることが前提条件です。SaaS・クラウド・オンプレを含め、自社が管理するWebサービスやAPIのうち、React Server Componentsを利用している資産を洗い出し、優先度を付けて対応しましょう。

ステップ	内容	担当候補
1. 資産棚卸し	React / Next.js / Expoなどを利用する全サービスの一覧化。	開発チーム、SRE、情報システム部門。
2. 影響評価	インターネット公開有無・RSC利用有無・認証の有無などを確認。	セキュリティチーム、プロダクトオーナー。
3. パッチ適用計画	本番・ステージング・検証環境への適用順序とスケジュール策定。	開発・運用チーム。
4. ログレビュー	開示日以降のアクセスログに不審なパターンがないかをチェック。	SOC / ログ解析担当。
5. 再発防止	今後のゼロデイに備えたパッチ適用プロセスと連絡体制の整備。	情報セキュリティ委員会など全社横断組織。

「どのシステムがRSCを使っているか分からない」状態を放置しないことが最優先です。
クラウド・SaaSベンダからのセキュリティ通知は、必ず窓口を明確にして迅速に共有・判断できるようにしましょう。
今回の事例をきっかけに、ソフトウェアBOM（SBOM）や資産管理の仕組みを強化することも検討価値があります。

React公式アナウンスで最新の対策手順を確認する