![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(201.6, 86%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(19.2, 14.000000000000002%, 11%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ESD%3C/text%3E%3C/svg%3E)
こんにちは @河野 拓
Microsoft Q&A にお問い合わせいただきありがとうございます。
Azure DevOps Server (2019 および 2022) は、CVE-2025-55182 を含む、React Server Components に関連する脆弱性の影響を受けません。
この CVE は、React Server Components (RSC) および react-server-dom-* などのサーバーサイド React ランタイムを使用するアプリケーションに影響を与え、信頼できないシリアル化されたデータがサーバー上で実行される可能性があります。Azure DevOps Server は、React Server Components を使用しておらず、アーキテクチャの一部として React の「サーバー関数」を公開していません。
Azure DevOps Server は、サーバーレンダリングされたビューと UI 操作用のクライアントサイド JavaScript を使用して、ASP.NET / ASP.NET Core 上に構築されています。一部のクライアントサイド UI 要素は React ライブラリを使用している可能性がありますが、これらはクライアント側のみで動作するため、サーバーサイドの React 実行に限定されるこの脆弱性の影響を受けません。
したがって、この CVE に関して、Azure DevOps Server 2019 または 2022 に対して緩和策やアップグレードは必要ありません。
Azure DevOps Server と並行して、個別のカスタムアプリケーション (たとえば、Next.js や React Server Components を使用するその他の Node.js アプリケーションなど) をホストしている場合は、これらのアプリケーションを個別に評価し、パッチを適用する必要があります。
Azure DevOps Server の脆弱性については、https://msrc.microsoft.com/update-guide をご確認ください。Azure DevOps Server 2019 は製品リストに掲載されていません。