エグゼクティブサマリー
Akamai はパートナーから通知された内容では、新たに公開された脆弱性が複数の React ベースのフレームワークに影響を与えているということでした。
Akamai は、Akamai Adaptive Security Engine Rapid Rules を導入して、これらの脅威からお客様を保護しています。Guardicore をご利用中で Akamai Hunt に登録されているお客様に関しては、Akamai が環境内の関連する脆弱な資産を検索して特定し、それらの資産を保護するための推奨事項を提供しています。
脆弱性の詳細
React Server Component(RSC)フレームワークにおいて、次の 2 つの脆弱性が新たに発見されました。
- CVE-2025-55183 — 情報漏えい:入力の検証が適切に行われていない場合、攻撃者は、サーバーのみのソースコードをサーバー機能の引数に漏えいさせることができてしまいます。
- CVE-2025-55184 — 機能レベルのサービス妨害(DoS):特別に細工されたペイロードが、無限の Promise 再帰を作成して Node.js サーバーをフリーズさせ、対象となるサーバーをオフラインにする可能性があります。
Akamai App & API Protector による緩和
2025 年 12 月 10 日、Akamai は App & API Protector のお客様向けに以下の Adaptive Security Engine Rapid Rules を導入し、完全な対応策を提供しました。
3000977 — React の脆弱性に起因する情報漏えいを検知しました(CVE-2025-55183)
3000978 — React の脆弱性に起因するサービス妨害を検知しました(CVE-2025-55184)
まとめ
Akamai は、App & API Protector 内に新しいルールを導入し、新たに公開された、React ベースの複数のフレームワークに影響を与える脆弱性からお客様を保護しています。
Akamai Hunt のお客様は、このような影響度の高い新たな脆弱性を発見するための 24 時間体制の継続的な監視に加え、Guardicore のきめ細かなマイクロセグメンテーション機能を使用した、仮想パッチ適用のための標的を絞った推奨事項をご利用いただけます。
Guardicore の Insight 機能をご利用のお客様は、以下の適切なクエリーを使用して脆弱な資産を特定していただけます。
SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack')
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')
UNION ALL
SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');今後の情報提供
タグ
