◆概要
2025 年 11 月末に公開された React の脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性の悪用に成功した攻撃者は、当該ソフトウェアの実行権限で、遠隔からの任意のコード実行が可能となります。ソフトウェアのバージョン更新により対策してください。
◆分析者コメント
React のうちバージョン 19 系のみが影響を受ける脆弱性ですが、Next.js では脆弱性の影響を受ける React を組み込んでいるバージョン範囲が広く社会的な影響度が高いと考えられるため、当該脆弱性には React2Shell という名前がつけられています。脆弱な React が稼働している Web サーバーに対して単一の POST リクエストを送信するのみで悪用可能な脆弱性であるため、様々な攻撃者から世界的に悪用されていると報道されています。React を用いたソフトウェアを運用している場合、早急に対策してください。
◆深刻度(CVSS)
[CVSS v3]
10.0
https://nvd.nist.gov/vuln/detail/CVE-2025-55182#:~:text=Base%20Score%3A-,10.0%20CRITICAL,-Vector%3A%C2%A0
◆影響を受けるソフトウェア
以下の React が当該脆弱性の影響を受けると報告されています。
* React 19.0.0
* React 19.1.0
* React 19.1.1
* React 19.2.0
また、脆弱な React を基盤に作成されている Next.js が当該脆弱性の影響を受けると報告されています。詳しくは、関連情報に掲載の Web サイトから確認してください。
◆解説
サーバーサイド JavaScript での Web アプリケーションの開発フレームワークとして世界的に利用されている React に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、React サーバーにおける HTTP リクエスト処理の実装不備に起因します。脆弱性が存在する React では、十分な検証をせずに HTTP リクエスト内容を処理するため、悪意のあるシリアライズデータをデシリアライズしてしまいます。攻撃者は当該脆弱性を悪用し、悪意のある JavaScript のコードを React サーバーに送信してデシリアライズさせることで、遠隔からの任意のコード実行が可能となります。
◆対策
以下の React が当該脆弱性の影響を受けると報告されています。
* React 19.0.1
* React 19.1.2
* React 19.2.1
Next.js のアップデート方法については、関連情報 [1] の Web サイトから確認してください。
----------------------------------------------------------------------
◆関連情報
[1] React 公式
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
[2] Openwall
http://www.openwall.com/lists/oss-security/2025/12/03/4
[3] JPCERT/CC
https://www.jpcert.or.jp/newsflash/2025120501.html
[4] JPCERT/CC
https://blogs.jpcert.or.jp/ja/2026/02/react2shell.html
[5] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-55182
[6] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-55182
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - jedisct1/react2shell-exploit
https://github.com/jedisct1/react2shell-exploit/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
2025 年 11 月末に公開された React の脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性の悪用に成功した攻撃者は、当該ソフトウェアの実行権限で、遠隔からの任意のコード実行が可能となります。ソフトウェアのバージョン更新により対策してください。
◆分析者コメント
React のうちバージョン 19 系のみが影響を受ける脆弱性ですが、Next.js では脆弱性の影響を受ける React を組み込んでいるバージョン範囲が広く社会的な影響度が高いと考えられるため、当該脆弱性には React2Shell という名前がつけられています。脆弱な React が稼働している Web サーバーに対して単一の POST リクエストを送信するのみで悪用可能な脆弱性であるため、様々な攻撃者から世界的に悪用されていると報道されています。React を用いたソフトウェアを運用している場合、早急に対策してください。
◆深刻度(CVSS)
[CVSS v3]
10.0
https://nvd.nist.gov/vuln/detail/CVE-2025-55182#:~:text=Base%20Score%3A-,10.0%20CRITICAL,-Vector%3A%C2%A0
◆影響を受けるソフトウェア
以下の React が当該脆弱性の影響を受けると報告されています。
* React 19.0.0
* React 19.1.0
* React 19.1.1
* React 19.2.0
また、脆弱な React を基盤に作成されている Next.js が当該脆弱性の影響を受けると報告されています。詳しくは、関連情報に掲載の Web サイトから確認してください。
◆解説
サーバーサイド JavaScript での Web アプリケーションの開発フレームワークとして世界的に利用されている React に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。
脆弱性は、React サーバーにおける HTTP リクエスト処理の実装不備に起因します。脆弱性が存在する React では、十分な検証をせずに HTTP リクエスト内容を処理するため、悪意のあるシリアライズデータをデシリアライズしてしまいます。攻撃者は当該脆弱性を悪用し、悪意のある JavaScript のコードを React サーバーに送信してデシリアライズさせることで、遠隔からの任意のコード実行が可能となります。
◆対策
以下の React が当該脆弱性の影響を受けると報告されています。
* React 19.0.1
* React 19.1.2
* React 19.2.1
Next.js のアップデート方法については、関連情報 [1] の Web サイトから確認してください。
----------------------------------------------------------------------
◆関連情報
[1] React 公式
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
[2] Openwall
http://www.openwall.com/lists/oss-security/2025/12/03/4
[3] JPCERT/CC
https://www.jpcert.or.jp/newsflash/2025120501.html
[4] JPCERT/CC
https://blogs.jpcert.or.jp/ja/2026/02/react2shell.html
[5] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-55182
[6] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-55182
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行を試みるエクスプロイトコードが公開されています。
GitHub - jedisct1/react2shell-exploit
https://github.com/jedisct1/react2shell-exploit/blob/main/exploit.py
#--- で始まる行は執筆者によるコメントです。
