エグゼクティブサマリー
Akamai がパートナーから通知された内容では、複数の React ベースのフレームワークに影響を与える新たな脆弱性 CVE-2025-55182 が公表され、React の Server Functions プロトコルが受信する Flight リクエストを処理する方法に非常に深刻な欠陥があることが明らかになっています。Next.js チームは別途、この脆弱性の影響を追跡するためのアドバイザリー「CVE-2025-66478」を公開しました。
この脆弱性を実際に悪用した例は確認されていません。しかしながら、Akamai は Adaptive Security Engine Rapid Rule を導入して、この脅威からお客様を保護しています。
脆弱性の詳細
問題の中心にあるのは、安全でないデシリアライゼーションです。このデシリアライゼーションによって、攻撃者が制御する入力は十分な検証やサニタイズを経ずに解析および拡張されることになります。注:この脆弱性は認証を必要としないため、重要度が低く、より悪用されやすくなります。
この処理の間、デシリアライゼーションのメカニズムによってオブジェクトのプロパティが暗黙的に拡張され、プロトタイプの汚染の影響を受けやすくなります。悪性キーをデータストリームに挿入することで、攻撃者は基本的なオブジェクトプロトタイプを改ざんし、実行時の Web アプリケーションの動作を変更することができてしまいます。
このプリミティブな挿入を React Server Components の特定の実行パスと組み合わせると、攻撃をエスカレートして、ターゲットサーバーでリモートコードの実行(RCE)をすることが可能になります。このリスクは、信頼境界がシリアライゼーションプロトコルと密接に結合されている React Server Components およびさらに広範な Server Functions 実行モデルに大きく依存する Web アプリケーションでは特に深刻です(詳細については、React チームが公開しているブログ記事をお読みください)。
この脆弱性は、次のシステムのバージョン 19.0、19.1.0、19.1.1、19.2.0 に存在します。
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
次のフレームワークおよびバンドルが影響を受けます。
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Akamai App & API Protector による緩和
2025 年 12 月 3 日、Akamai は App & API Protector をご利用のお客様向けに以下の Adaptive Security Engine Rapid Rule を導入し、完全な対応策を提供しました。
3000976 — React のリモートコード実行による攻撃を検知しました(CVE-2025-55182)
まとめ
Akamai App & API Protector には、この脅威からお客様を保護するための新しいルールが導入されています。しかしながら、最も効果的な防御策はベンダーから提供されたパッチの速やかな適用であることは、今後も変わりません。この問題の影響度を考慮すると、パッチはできるだけ早く適用すべきです。
Akamai Security Intelligence Group は、お客様とセキュリティコミュニティ全体のために、このような脅威を監視し、報告し、緩和策を作成し続けます。Akamai Security Intelligence Group の最新ニュースは、Akamai の調査ホームページをご覧になるか、Akamai のソーシャルメディアをフォローしてご確認いただくことができます。
タグ
