出典:vercel.com
詳細を読む
Vercelが、React Server Componentsに新たに発見された2件の脆弱性を公表しました。CVE-2025-55184は、不正なHTTPリクエストによりサーバープロセスがハングしCPUを消費するDoS脆弱性です。CVE-2025-55183は、Server Actionのコンパイル済みソースコードが漏洩する可能性があります。
影響を受けるのはReact 19.0.0から19.2.1のreact-server-dom関連パッケージで、Next.js 13.x〜16.xをはじめ、Vite、Parcel、React Routerなどにも波及します。いずれもリモートコード実行は不可能です。
Vercelは全ホスティングプロジェクトにWAFルールを無償展開しましたが、WAFだけでは不十分としてパッチ適用を強く推奨しています。React 19.0.2、19.1.3、19.2.2で修正されています。