出典:vercel.com
詳細を読む
VercelとReactチームは2025年12月11日、React Server Componentsに関する新たなセキュリティ情報を公開しました。高深刻度のサービス拒否(DoS)と中深刻度のソースコード漏洩が含まれており、Next.jsなどのフレームワーク利用者は直ちに修正版へのアップデートが必要です。
今回特定された脆弱性は、悪意あるリクエストによりサーバーのCPUリソースを枯渇させるDoSと、コンパイル済みのServer Actionsのコードが閲覧可能になるものです。これによりビジネスロジックが漏洩する恐れがありますが、リモートコード実行には至らないことが確認されています。
影響を受けるのはReact 19.x系の特定のバージョンおよびNext.js 13.xから16.xを含む複数のフレームワークです。以前の脆弱性(React2Shell)の調査過程で発見されましたが、既存のパッチ自体は有効であり、今回の件は独立した問題として対処が求められます。
Vercel WAFでは既に対策ルールが適用され、ホストされているプロジェクトは自動的に保護されています。しかし、完全な安全性を確保するにはアプリケーション自体の更新が不可欠です。各ライブラリのメンテナが提供する最新バージョンへ、早急に移行してください。