「React」に新たな脆弱性 ～「React2Shell」への対策は不十分、最新版への更新を

「React」開発チームのアナウンス

　UIライブラリ「React」（React.js）の開発チームは12月11日、「React Server Components」で新たな脆弱性が発見されたことを明らかにした。先日アナウンスされた「React2Shell」脆弱性（CVE-2025-55182）の修正パッチをセキュリティ研究者が調査する過程で発見、報告されたという。

　今回発見された脆弱性は、以下の3つだ（括弧内はCVSSの基本値と、それにもとづく4段階の評価）。

• CVE-2025-55184：悪意のあるHTTPリクエストで無限ループを引き起こせるサービス拒否（DoS）の問題（7.5：High）
• CVE-2025-67779：「CVE-2025-55184」の修正が不完全だったため、追加の修正を実施（7.5：High）
• CVE-2025-55183：悪意あるHTTPリクエストを送ると、サーバー関数のソースコードが露出する。ハードコードされた機密情報が漏洩する可能性（5.3：Medium）

　これらの脆弱性は「React2Shell」脆弱性（CVE-2025-55182）と同じコンポーネント、バージョンに影響するが、「React2Shell」のようにリモートコード実行につながる致命的なものではない。とはいえ、「React Server Components」に関するセキュリティ修正が不十分であったことには変わりがなく、できるだけ早めに対処しておくべきだろう。「React2Shell」対策がまだならなおさらだ。

　対策は、以下の修正版へ更新することだ。先日v19.0.2、v19.1.3、v19.2.2へ更新している場合も、下記バージョンへのアップデートが推奨されている。

• 19.0.3
• 19.1.4
• 19.2.3

　さらなるセキュリティ調査の過程で新たな問題が発見される可能性も十分にあるため、今後も「React」のアップデート情報には注意を払うべきだ。