Wallarm(ワラーム)、Reactサーバーコンポーネントの新たな高リスク脆弱性を公開
大手サイバーセキュリティー企業Wallarm(ワラーム)は、React Server Componentsを利用するアプリケーションに影響を与える新たな脆弱性を公開した。これらの脆弱性は、以前に公開された脆弱性に加えて、これらのアプリケーションのセキュリティーと機能に重大な脅威をもたらす。
これらの脆弱性の1つ目は、サービス拒否(DoS)攻撃だ。CVSSスコアは7.5で、深刻度は「高」と分類されている。CVE-2025-55184およびCVE-2025-67779として識別されるこの脆弱性により、細工されたリクエストによってサーバーリソースが枯渇する可能性がある。その結果、サーバーのハングアップやサービスの完全な利用不能が発生し、アプリケーションの機能が中断され、深刻なダウンタイムが発生する可能性がある。
Wallarmが公表した2つ目の脆弱性は、ソースコード露出の問題だ。この脆弱性は、深刻度が中程度、CVSSスコアが5.3で、CVE-2025-55183として識別されている。この脆弱性により、特殊な形式のリクエストによってサーバー側のソースコードが漏洩する可能性がある。これにより、機密情報が漏洩し、アプリケーションのセキュリティーが侵害される可能性がある。
これらの脆弱性は、以前公開されたReact2Shell(CVE-2025-55182)の脆弱性と同じReact Server Componentsのリクエスト処理サーフェスに影響を及ぼす。ただし、React2Shellの脆弱性とは異なり、これらの新たな脆弱性はリモートコード実行を可能にするものではない。React2Shellの脆弱性に対してリリースされた修正により、リモートコード実行は引き続き防止されるが、これらの新たな脆弱性は、React Server Componentsを使うアプリケーションの可用性と機密性に脅威をもたらす。
これらの脆弱性への対応として、Wallarmはユーザーに対し、Reactの最新パッチ適用バージョンへのアップグレードと、React Server Componentsエンドポイントの脆弱性の調査を推奨している。また、顧客保護を強化するため、Wallarmはこれらの脆弱性の悪用をブロックする仮想パッチもリリースした。このパッチは、ブロッキングモードとモニタリングモードのどちらを使っているかに関係なく有効であり、React Server Componentsを使うアプリケーションのセキュリティーをさらに強化する。
出典:Wallarm