脆弱性の影響を受けることが確認されているコンポーネントは以下のとおりです。
CVE-2025-55182(React2Shell)とは
CVE-2025-55182、通称“React2Shell”は、認証不要のリモートコード実行を引き起こす重大な脆弱性で、CVSSスコアは10.0です。この脆弱性はReact Server Components(RSC)を使用するすべてのアプリケーションに影響し、広く採用されているフレームワーク「Next.js」も含まれます。この脆弱性の悪用には設定ミスを必要とせず、React Server Functionsが使用されていない場合でも、公開されているRSC対応アプリケーションはすべて脆弱です。公開PoCのリリース以降、多くのランサムウェアオペレーターや特定地域に関連する脅威グループが自動化された機会的攻撃を開始していることが確認されています。
脆弱性は、React Server Componentsの“Flight”プロトコルにおけるオブジェクト参照の処理方法に起因します。Flightプロトコルは、適切な検証を行わずにクライアントデータをデシリアライズし、プロトタイプチェーンを介して関数へのアクセスを許可します。ほとんどのRSC対応アプリケーションは‘node.js’上で動作し、そのモジュールや依存関係を含むため、攻撃者は再帰的かつネストされた呼び出しを連鎖させ、特別に細工されたHTTPリクエストを使用してリモートコード実行を達成できます。
脅威は公開後に急速に拡大しました。GitHubでホストされている一部の拡張機能は重大なリスクをもたらします。この拡張機能はReact Server Componentの実装を受動的に検出し、エンドポイントを能動的にフィンガープリントし、ユーザーのブラウザから直接攻撃ワークフローを実行できます。さらに、Shodanスキャン、CORSバイパス技術、攻撃自動化ワークフローを統合したオープンソースツールが、大規模な侵害を可能にしています。AWSは、GitHubで最初のPoCが公開された数時間以内に、実際の悪用事例を確認したと報告しており、攻撃は特定地域に関連する脅威グループに帰属しています。これらのグループは、公開直後に脆弱性を悪用し、公開システムを標的にしました。
現在、多数の偽PoCスクリプトが流通しており、動作しないものや、悪意のあるコードを含むものが存在する可能性があります。したがって、組織はサードパーティスクリプトの使用を避け、信頼できるアドバイザリのみを利用する必要があります。
推奨される対策
- すべてのアプリケーションでReactのコアライブラリとNext.jsフレームワークを検出し、パッチを適用する。
- Docker、AWS、クラウド環境などのセルフホスト環境で稼働するコンポーネントに手動でパッチを適用する。
Reactに依存する関連フレームワークについても影響を受けます。対象には以下が含まれますが、これらに限定されません。
以下は、ベンダーにより公表されている修正済みバージョンです。
以下は、CVEー2025ー55182(React2Shell)に関連する侵害指標(IoC)です。
以下の侵害指標(IoC)は、CVE-2025-55182を悪用する攻撃者の活動に関連しています。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。