情報処理推進機構(IPA)は12月10日、多くのウェブサービスで使われている開発技術に重大な問題が見つかり、国内でも悪用したとみられる攻撃が発生している可能性があるとして注意を呼び掛けました。
開発元によると、危険度は「CVSS 10.0(最高)」に評価されています。
問題が確認されたのは、ウェブサイトの裏側で動く“React(リアクト)”と呼ばれる仕組みの一部で、細工されたアクセスを受けると攻撃者がサーバー内部で勝手に命令を実行できてしまうおそれがあるといいます。
React開発チームは12月3日付で公式にこの問題を公表しており、「認証なしでリモートコード実行が可能になる脆弱性(CVE-2025-55182)」と説明しています。
脆弱性はReact Server Componentsを扱うパッケージの一部(19.0、19.1.0、19.1.1、19.2.0)に存在します。
これらは即時のアップデートが強く推奨されており、修正版は 19.0.1 / 19.1.2 / 19.2.1 として公開されています。
また、Next.jsやReact Router、ViteのRSCプラグインなど、一部のフレームワークやバンドラーも影響を受けるとされ、React開発チームは利用者に対して修正版への更新を呼び掛けています。
この仕組みは近年、多くの企業サイトやアプリで採用されており、影響は広範囲に及ぶ可能性があります。一般の利用者が特別な操作を行う必要はありませんが、企業や団体の情報システム担当者は早急な確認が必要になります。
<参考・引用>
IPA「React Server Componentsにおける脆弱性について(CVE-2025-55182)」(2025年12月10日)
React「Critical Security Vulnerability in React Server Components」(December 3, 2025)
GitHub Security Advisory「RCE in React Server Components」
