React2Shell脆弱性、Next.js等は即時更新を

2025年12月、React Server Componentsに起因する深刻な脆弱性「React2Shell」のエクスプロイトが確認されました。この欠陥はReact 19およびNext.js等のフレームワークに影響し、攻撃者によるリモートコード実行（RCE）を許す可能性があります。該当技術を利用する企業や開発チームは、直ちにセキュリティ状況を確認し、対策を講じる必要があります。

影響を受けるのは、Next.jsのバージョン15.0.0から16.0.6、および特定のCanaryビルドです。React Server Componentsを採用している場合、他のフレームワークでもリスクが存在します。Vercelダッシュボードの警告や、ブラウザコンソールでの`next.version`実行により、現在利用中のバージョンを速やかに特定してください。

対策として、修正パッチが適用されたバージョンへのアップグレードが必須です。自動修復ツール`npx fix-react2shell-next`を利用するか、`package.json`を更新して再デプロイを行ってください。WAFによる遮断はあくまで緩和策であり、アプリケーション自体の更新以外に完全な保護手段はありません。

脆弱な状態で稼働していたシステムは、すでに侵害されているリスクを否定できません。フレームワークのアップデート完了後、APIキーやデータベース接続情報など、アプリケーションに関連するすべての環境変数（Secrets）をローテーションすることを強く推奨します。Vercel Agent等の自動検知機能も活用し、継続的な監視体制を維持してください。