vul.hatenadiary.com 【ニュース】■2025年◇2025年12月 ◆Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution (The Hacker News, 2025/12/03) [ReactおよびNext.jsにおける重大なRSC脆弱性により、認証不要のリモートコード…

【要点】 ◎React2Shell（CVE-2025-55182）がWeaxorランサムウェア攻撃で悪用され、侵入から1分以内に暗号化が実行された。Node.js経由の不審なプロセス生成など、侵害痕跡の確認が重要とされる。 (BleepingComputer)

【要点】 ◎Meta が開発したUI構築のためのJavaScriptライブラリ

【要点】 ◎React Server ComponentsにDoSやソースコード漏洩など新たな脆弱性3件が判明。うち2件はHigh評価で追加修正が必要となった。Server Function未使用でも影響の恐れがあり、19.2.3など最新版への即時更新と継続的な警戒が求められる。

【要点】 ◎ReactのRCE脆弱性CVE-2025-55182を狙う攻撃が国内SOCで急増。1時間3000件超を検知し、wget/curl経由の感染試行も確認。ラックはIoC確認・更新適用・侵害調査を強く推奨している。

【要点】 ◎Reactの深刻な脆弱性CVE-2025-55182を狙う攻撃が急増し、国内SOCで多数観測されたとして、ラックが早急な更新と侵害確認を呼びかけた。

【要点】 ◎React2Shell（CVE-2025-55182）は認証不要でRCEに至る深刻脆弱性。公開直後から中国系含む攻撃が活発化し、CISAもKEV登録。React最新版で修正済みで、早急な更新と侵害調査が必要。

【要点】 ◎Reactの重大脆弱性CVE-2025-55182がKEV入りし、CISAが悪用確認を公表。認証不要でRCE可能で、Next.jsなどにも影響。PoC公開でリスクが高まっており、迅速な更新と調査が必要。

【要点】 ◎React2Shell（CVE-2025-55182）は公開直後に中国系グループが悪用開始。認証不要RCEでNext.js等も影響。攻撃痕跡も多数確認され、Assetnoteの検知ツールも公開。AWSは防御策を示しつつ、最重要はアプリ側の迅速な更新と侵害調査と強調。

【訳】中国のハッカーが新たに公表されたReact2Shell脆弱性の悪用を開始した 【要点】 ◎React2Shell（CVE-2025-55182）が公開直後から中国系2グループに悪用され、広範スキャンと初期偵察が確認。修正は最新版Reactで提供済み。Cloudflareは対策更新が原因で…

【訳】Critical React、Next.jsの脆弱性によりハッカーがサーバー上でコードを実行可能に 【要点】 ◎React2Shell（CVE-2025-55182）が公開直後から中国系Earth Lamia／Jackpot Pandaに悪用され、広範スキャンと初期偵察が確認。Reactは最新版で修正済み。Clo…

【訳】ReactおよびNext.jsにおける重大なRSC脆弱性により、認証不要のリモートコード実行が可能に 【要点】 ◎React RSC に未認証RCEとなるCVE-2025-55182が発生。Next.jsも影響し、細工リクエストのみで任意コード実行が可能。パッチ適用が必須で、WAF各社は…