🔥 [緊急セキュリティ告知] React・Next.jsでCVSS 10.0の脆弱性を発見 — 認証なしでリモートコード実行が可能 (React2Shell)
🚨 概要 — React2Shell、CVSS 10.0の「Log4j級」超深刻脆弱性
2025年12月、グローバルセキュリティ企業のWizが、React Server Components(RSC) および それを使用する Next.js(App Routerベース) において、 CVSS 10.0(最高深刻度) のリモートコード実行(Remote Code Execution, RCE)の脆弱性を公開しました。
世界のセキュリティコミュニティでは、この脆弱性を React2Shell と呼んでおり、 その深刻度は Log4Shell(Log4j)と同一の「完全なサーバー奪取が可能」なレベルであると評価されています。
つまり、
React2Shell(CVSS 10.0)は、明らかにLog4j級の脆弱性です。 認証なしでサーバーコードが実行される可能性があり、攻撃の難易度も非常に低いです。
世界的にReact・Next.jsベースのサービスが幅広くデプロイされているため、 国内外のCERTおよび主要なセキュリティベンダーは 即時のパッチ適用 を勧告しています。
⚠️ どのような危険がありますか?
- サーバーで 認証なし で任意コードの実行が可能
- 操作されたリクエストだけで サーバー全体の奪取が可能
- デフォルト設定(Default Config)だけで 攻撃が成立
- すでに 実際の攻撃試行とスキャントラフィックの増加 がグローバルで観測されている
Next.js(App Router)またはReact Server Componentsを使用しているウェブサービスであれば、 遅滞なく 影響評価およびパッチ適用 が必要です。
🔥 2. Log4jとの比較:何が同じか?
| 項目 | Log4j (Log4Shell) | React2Shell (今回のRCE) | 共通点 |
|---|---|---|---|
| 深刻度 | 10.0 | 10.0 | 同一 |
| 攻撃難易度 | 非常に低い | 非常に低い | 同一 |
| 認証の要否 | 不要 | 不要 | 同一 |
| 結果 | 完全なリモートコード実行(RCE) | 完全なリモートコード実行(RCE) | 同一 |
| 影響範囲 | 数多くの企業バックエンド/ウェブサービス | Next.js・Reactサーバー環境 | 広いエコシステムの脆弱性 |
| Zero-dayか否か | はい | はい (公開直後に攻撃急増) | 同一 |
まとめると:
攻撃難易度・影響・危険性の側面で、React2ShellはLog4jと同等であり、 即時の対応が必要な超高リスクな脆弱性です。
🧩 技術要約
1) 脆弱性情報
- CVE-2025-55182 — React Server Components(RSC) プロトコルの脆弱性
- CVE-2025-66478 — Next.jsがRSCの欠陥を継承したことにより発生した下位の脆弱性
- 通称: React2Shell
2) 攻撃方式
RSCプロトコルがペイロードを 安全にデシリアライズできない構造的な設計欠陥 を抱えています。 これを悪用すると、攻撃者は単純なHTTPリクエストだけで サーバー側で任意コードを実行 することができます。
ログイン・セッションなどの認証は一切必要ありません。
🎯 影響を受ける環境
以下の条件のいずれか一つでも該当する場合、脆弱な状態です。
- Next.js App Router ベースのサービスを運用
- React Server Components(RSC) を使用
react-server-dom-*パッケージを使用- Next.js 15.x / 16.x / 一部の14.x canary ベースの環境
React公式パッチバージョン: 19.0.1 / 19.1.2 / 19.2.1 以上 Next.jsパッチバージョン: 15.0.5 / 15.1.9 / 16.0.7 など
🛡 顧客に必要な措置
1) 即時の影響評価
- サービスがReact Server ComponentsまたはNext.js(App Router)を使用中か確認
- project dependenciesに該当するパッケージが存在するか確認
- RSCエンドポイントが外部に露出していないか点検
2) 緊急パッチの適用
- React:
19.0.1,19.1.2,19.2.1以上にアップデート - Next.js: 公式に提供されたセキュリティパッチバージョンへアップグレード
3) セキュリティモニタリングの強化
- WAF・XDR・SIEMで RSC脆弱性関連の異常リクエストパターンの検知を有効化
- 最近のサーバーログから RSC呼び出し・スキャンパターン を集中分析
- React2Shell関連の IOCベースの検知ルールを適用
🛡 WAF(ウェブアプリケーションファイアウォール)で即座に適用すべき遮断ポリシー
React2Shell脆弱性は「特殊に操作されたRSCリクエスト」が核となる攻撃ベクトルであるため、 WAFでは以下のポリシーを即座に適用することが推奨されます。
✔ 1) 異常なRSCペイロードの遮단
/_rscまたは?rsc=形式の 異常な長さ・壊れたBase64・圧縮されたpayload- JSONではない構造のbinary-like payload
- RSCプロトコル仕様にない
type,id,directiveフィールドの改ざん
✔ 2) サーバーレンダリングエンドポイント(SSR/RSC)へのアクセス制御強化
- 予期しないHTTPメソッドリクエストの遮断 (PUT/DELETEなど)
- 内部APIを呼び出すSSRパスに対するアクセス制限
✔ 3) スキャン/ボットトラフィック遮断ポリシーの強化
- 短時間内での反復的な
_rscリクエスト - 異常なUser-Agent (curl, python-requestsなど)
- 海外からの大量リクエストの遮断 (GeoIPベース)
要約: WAFでは「RSC異常ペイロードの遮断 + SSRエンドポイントの保護 + 攻撃パターンベースのRate-limit適用」が核心です。
📌 結論
React2Shellは単なる開発者のミスではなく、 フレームワーク・プロトコルレベルの構造的な脆弱性であり、 攻撃の難易度と被害規模の観点から Log4jに匹敵する超深刻な問題です。
React/Next.jsベースのサービスを運用中であれば、 今すぐパッチを適用し、セキュリティ点検を実施する必要があります。
必要な場合、 貴社の環境のための 脆弱性診断、RSC露出の有無の調査、 パッチガイド、WAF/XDR検知ルールの連携をサポートいたします。