Impact of React vulnerability

弊社セキュリティ担当部門より

React Server Componentsの脆弱性に関する情報が展開され

https://www.jpcert.or.jp/newsflash/2025120501.html

影響調査を行う必要があります。

Azure DevOps Serにおける使用有無についてご教示いただけますでしょうか。

以下、弊社内の調査依頼内容です。

--

　レンダリングコンポーネントである React Server Componentsには

　信頼できないデータのデシリアライゼーションの脆弱性（CVE-2025-55182）が

　公開されています。

　本脆弱性のCvSSv3.1値は10と最高であり、現在ゼロデイ攻撃が頻繁に行われています。

　なお、React Server Functionエンドポイントを実装していなくても、

　React Server Componentsをサポートしている場合、本脆弱性の影響を受ける可能性があります。

■脆弱性に該当するバージョン・製品

　React

　　react-server-dom-webpack

　　　19.0.1より前の19.0系

　　　19.1.2より前の19.1系

　　　19.2.1より前の19.2系

　　react-server-dom-parcel

　　　19.0.1より前の19.0系

　　　19.1.2より前の19.1系

　　　19.2.1より前の19.2系

　　react-server-dom-turbopack

　　　19.0.1より前の19.0系

　　　19.1.2より前の19.1系

　　　19.2.1より前の19.2系

　関連フレームワーク

　　Next.js

　　　Next.js 16.0.7より前

　　　Next.js 15.5.7より前

　　　Next.js 15.4.8より前

　　　Next.js 15.3.6より前

　　　Next.js 15.2.6より前

　　　Next.js 15.1.9より前

　　　Next.js 15.0.5より前

　　　Next.js 14.3.0-canary.77およびそれ以降のcanaryリリース

　　next

　　react-router

　　waku

　　@parcel/rsc

　　@vitejs/plugin-rsc

　　rwsdk

■対策

　各開発者が提供する情報をもとに、最新版にアップデートしてください。

■参考URL

　・JVN情報

　https://jvn.jp/vu/JVNVU91640936/

　・CVE-2025-55182

　https://www.jpcert.or.jp/newsflash/2025120501.html