Reactチームは、Reactサーバーコンポーネント(RSC)において、新たなセキュリティ脆弱性を公開しました。これは前回の重大なRCE脆弱性パッチ後に発見されたもので、サービス拒否(Dos)攻撃とソースコード漏洩の2つのカテゴリに分類されます。RSCを使用する全てのプロジェクトは直ちに対応が必要です。公式の発表詳細はReactブログを根拠資料としてご確認ください。
🔥 脆弱性概要と影響を受けるバージョン
今回公開された問題は、高深刻度のDos攻撃と中深刻度のソースコード漏洩の2種類です。
| 脆弱性の種類 | CVE 番号 | CVSS スコア | 深刻度 | 主な影響 |
|---|---|---|---|---|
| サービス拒否 (Dos) | CVE-2025-55184, CVE-2025-67779 | 7.5 | 高 | サーバープロセスのハング、CPU過剰使用 |
| サービス拒否 (Dos) | CVE-2026-23864 | 7.5 | 高 | サーバークラッシュ、メモリ不足例外 |
| ソースコード漏洩 | CVE-2025-55183 | 5.3 | 中 | サーバー関数のソースコード漏洩 |
影響を受けるパッケージとバージョン:
react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackの19.0.0 から 19.2.3までのバージョンが脆弱です。
即時アップグレード対象バージョン: 19.0.4、19.1.5、19.2.4 以上に更新してください。
🛡️ 開発者向け対応ガイド
-
依存関係の確認と更新:
// package.json の例 { "dependencies": { // 以下の安全なバージョンのいずれかに直ちに更新してください。 "react-server-dom-webpack": "^19.2.4", "react-server-dom-turbopack": "^19.2.4" // react と react-dom はバージョン不一致エラーを避けるため現行バージョンを維持可能 } }ターミナルで
npm updateまたはyarn upgradeを実行します。 -
フレームワーク利用者: Next.js、React Router、Wakuなどを使用している場合は、それらのフレームワークも最新バージョンに更新してください。
-
React Native 利用者: モノレポを使用していない場合は対応不要です。モノレポ使用時は、上記の脆弱なサーバーパッケージのみを更新してください。
-
ホスティングプロバイダの緩和策: Vercelなどの主要プロバイダは一時的な緩和策を適用していますが、これに依存せず、直接パッチを適用してください。
💡 まとめと重要なポイント
これらの脆弱性は、サーバーコンポーネントにおいて信頼できないデータをデシリアライズすることに伴うリスクを示しています。Dos攻撃はサーバーの可用性を損なう可能性があるため、直ちにパッチを適用することが最優先の対応策です。
サーバーコンポーネントを使用していないアプリは影響を受けませんが、使用しているフレームワークやバンドラーがRSCをサポートしている場合、間接的なリスクが存在します。パッチ適用後は、サーバーモニタリングを強化し、異常を迅速に検出できるようにすることが推奨されます。セキュリティは一度きりの更新ではなく、継続的なプロセスであることを忘れないでください。