Skip to main content

読み込み中です

      CVE-2025-55182(React2Shell)とは

      CVE-2025-55182、通称“React2Shell”は、認証不要のリモートコード実行を引き起こす重大な脆弱性で、CVSSスコアは10.0です。この脆弱性はReact Server Components(RSC)を使用するすべてのアプリケーションに影響し、広く採用されているフレームワーク「Next.js」も含まれます。この脆弱性の悪用には設定ミスを必要とせず、React Server Functionsが使用されていない場合でも、公開されているRSC対応アプリケーションはすべて脆弱です。公開PoCのリリース以降、多くのランサムウェアオペレーターや特定地域に関連する脅威グループが自動化された機会的攻撃を開始していることが確認されています。

      脆弱性は、React Server Componentsの“Flight”プロトコルにおけるオブジェクト参照の処理方法に起因します。Flightプロトコルは、適切な検証を行わずにクライアントデータをデシリアライズし、プロトタイプチェーンを介して関数へのアクセスを許可します。ほとんどのRSC対応アプリケーションは‘node.js’上で動作し、そのモジュールや依存関係を含むため、攻撃者は再帰的かつネストされた呼び出しを連鎖させ、特別に細工されたHTTPリクエストを使用してリモートコード実行を達成できます。

      脅威は公開後に急速に拡大しました。GitHubでホストされている一部の拡張機能は重大なリスクをもたらします。この拡張機能はReact Server Componentの実装を受動的に検出し、エンドポイントを能動的にフィンガープリントし、ユーザーのブラウザから直接攻撃ワークフローを実行できます。さらに、Shodanスキャン、CORSバイパス技術、攻撃自動化ワークフローを統合したオープンソースツールが、大規模な侵害を可能にしています。AWSは、GitHubで最初のPoCが公開された数時間以内に、実際の悪用事例を確認したと報告しており、攻撃は特定地域に関連する脅威グループに帰属しています。これらのグループは、公開直後に脆弱性を悪用し、公開システムを標的にしました。

      現在、多数の偽PoCスクリプトが流通しており、動作しないものや、悪意のあるコードを含むものが存在する可能性があります。したがって、組織はサードパーティスクリプトの使用を避け、信頼できるアドバイザリのみを利用する必要があります。

      推奨される対策

      • すべてのアプリケーションでReactのコアライブラリとNext.jsフレームワークを検出し、パッチを適用する。
      • Docker、AWS、クラウド環境などのセルフホスト環境で稼働するコンポーネントに手動でパッチを適用する。

      Reactに依存する関連フレームワークについても影響を受けます。対象には以下が含まれますが、これらに限定されません。

      Japanese alt text: Downstream Frameworks Impacted

      脆弱性の影響を受けることが確認されているコンポーネントは以下のとおりです。

      Japanese alt text: Affected Components

      Japanese alt text: Affected ‘Next.js’ versions

      以下は、ベンダーにより公表されている修正済みバージョンです。

      Japanese alt text: React Server Components

      Japanese alt text: Patched ‘Next.js’ versions

      以下は、CVEー2025ー55182(React2Shell)に関連する侵害指標(IoC)です。

      Japanese alt text: Indicators of Compromise: IP Addresses

      以下の侵害指標(IoC)は、CVE-2025-55182を悪用する攻撃者の活動に関連しています。

      Japanese alt text: Indicators of Compromise: IP Addresses

      ※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

      本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

      脅威インテリジェンス情報(2025年12月)

      KPMGインドのサイバー脅威に関する研究データに基づいた情報を毎月紹介しています。

      サイバーリスクに繋がる脅威情報の収集・分析を通じてリスクを未然に防ぎ、リスク発現時の対応を支援します。

      多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。

      お問合せ

      お問合せフォームより送信いただいた内容は、確認でき次第回答いたします。

      blue

      KPMGコンサルティング

      戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験から、幅広いコンサルティングサービスを提供しています。

      Japanese alt text: KPMGコンサルティング