Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 - Qiita
やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext.jsアプリケーションがサイバー攻撃を受け、暗号通貨マイナーを仕込まれました。CVE-2025-55182が公開されてから2日後のことでした。 Note: この記事はインシデント調査レポートを基に、Claude Codeが執筆しました。 TL;DR CVE-2025-55182公開から2日後に攻撃を受けた Next.js 15.x / 16.x のServer Actions脆弱性でRCE(リモートコード実行)された 暗号通貨マイナー(Monero)と複数のバックドアを仕込まれた サーバー内部の認証情報が漏洩した可
Over 644,000 Domains Exposed to Critical React Server Components Vulnerability
Home Cyber Security Over 644,000 Domains Exposed to Critical React Server Components Vulnerability The Shadowserver Foundation has released alarming new data regarding the exposure of web applications to CVE-2025-55182, a critical vulnerability affecting React Server Components. Following significant improvements to their scanning methodologies, researchers have identified a massive attack surface
React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 - piyolog
2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの? React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基本値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数
一連のRSC議論について
一連のRSC/Server Functions議論について 以下の事象のどれをヨシとして、どれをヨシとしないかについてスタンスを明確にしてから議論を行う必要があります サーバ側で見た目をレンダリングすること (Server Componentsを用いたUIレンダリング) サーバ側のデータを魔法のようにクライアントに渡せてしまうこと (SCからCCへのprops受け渡し) クライアントがサーバの関数呼び出しを意識せず魔法のように行えてしまうこと (Server Functionsへの引数渡し) 自分は一番目は是非とも許容していきたくて(これに関してはMPAやHTML on the Wire/HotWire のメリットと同じ)、 2と3はうまく立ち回らないと自分の足を自分でぶち抜いてしまう危険な仕組みなので避け、 SPA + Backend APIと同様にAPIスキーマを定義し、意図しない値の
Lessons from React2Shell
DEV Community Follow A space to discuss and keep up software development and manage your software career Future Follow News and discussion of science and technology such as AI, VR, cryptocurrency, quantum computing, and more. Open Forem Follow A general discussion space for the Forem community. If it doesn't have a home elsewhere, it belongs here
個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】|ねころこ
はじめに「あれ、CPUクレジットがゼロになってる…?」 12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。 うちのインスタンスは毎日夜中に再起動するのだが、再起動直後、クレジットが回復し始めた途端に一気に消費され、その後枯渇していた。 これは、私の個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録です。 異変の発見最初の違和感個人開発で運用していたNext.jsアプリケーション。普段は静かに動いているはずのt2.microのCPUクレジットが何故か枯渇している。 詳しく調べてみると、 ps aux --sort=-%cpu | head -20 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND ubuntu 2175 0.0 0.0
React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)が確認されています。 本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。 なお、「Next.js」など他製品において、同様の影響を受けます。 --- 2025年 12 月 10 日更新 --- 本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。 今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。 --- 2025年 12 月 12 日更新 ---
Railsを快適に開発するための最新フロントエンドツールキット(翻訳)|TechRacho by BPS株式会社
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Keeping Rails cool: the modern frontend toolkit—Martian Chronicles, Evil Martians’ team blog 原文公開日: 2024/12/10 原著者: Irina Nazarova(CEO)、Travis Turner(技術編集者) サイト: Evil Martians -- ニューヨークやロシアを中心に拠点を構えるRuby on Rails開発会社です。良質のブログ記事を多数公開し、多くのgemのスポンサーでもあります。 日本語ブログ: 合同会社イービルマーシャンズ - Qiita はじめに Evil Martiansは、Railsでのスタートアップ支援や構築を行っており、RubyとRailsがチームの生産性と競争力の強化につながることも熟知してい
君たちはReactをどうやってRuby on Railsに載せるべきか?
下記の記事の内容をRuby Gemにしました! react_router_rails_spa gem. 以下のコマンドを実行するだけで、Modern SPAをRuby on Railsに載せることができます。 # Railsのインストール rails new test_app cd test_app # gemのインストール bundle add react_router_rails_spa bundle install bin/rails generate react_router_rails_spa:install # サーバ立ち上げ bin/rails s bin/rails react_router:dev はじめに こんにちは!Ruby on Railsフロントエンドエンジニアを目指し、Hotwireを中心に活動しつつ、Next.jsもReactも勉強している加々美です! 202
Sunsetting Create React App – React
Today, we’re deprecating Create React App for new apps, and encouraging existing apps to migrate to a framework, or to migrate to a build tool like Vite, Parcel, or RSBuild. We’re also providing docs for when a framework isn’t a good fit for your project, you want to build your own framework, or you just want to learn how React works by building a React app from scratch. When we released Create Re
Next.js App Routerの"use server"雑感 : Rails視点から
はじめに Next.jsにServer Actionが新しく導入されました。サーバ上の関数をブラウザから直接呼び出すようなコードの書き味を提供するもので、非常に魅力のあるコンセプトだと私は思っています。ただしサーバ上で実行されるコードとブラウザで実行されるコードの境界が曖昧で、"use server"のセキュリティ上の懸念もよく議論されています。 一方で、私の先日の記事Next.jsで簡単なCRUDアプリを作りながら気になったセキュリティ: Railsの視点からで、私はこの"use server"問題には言及しませんでした。まだ非常に新しい話題でかつNext.js側の対応も進行中だというのもありますが、実は個人的にあまり気にならないのが最大の理由です。 気にならなくなったきっかけは、Server ActionをRuby on Railsのコントローラと同じように考え始めたことです。こうする
Recoilは状態管理の選択肢ではなくなってしまった
TL;DR Recoilはもうメンテナンスされていない。理由は不明だが、このプロジェクトは死んでしまった。 メンテナンスされていないライブラリの使用はやめよう、別の選択肢を選ぼう Recoil Meta社が新規に作成した状態管理ライブラリです。この記事はRecoilの解説記事ではないので詳細は省きますが、大変な期待を抱くには十分なほど魅力的なパッケージでした。 ですが Recoilの現在のリポジトリを見ればわかると思いますが、半年以上前に更新が止まっています。 おそらく、recoilプロジェクトは凍結されました。 つまり、もう更新は期待できないということです。 どうしてこのような状況になったのか どこかの会社が所有しているOSSプロジェクトが凍結される理由は、ビジネス的な問題か、主要コントリビューターが会社を去った場合に起きると考えられます。そして、Metaは規模にかかわらずここ最近ニュー
From Next.js to Rails then Elixir: My journey through React.js burnout
DEV Community Follow A space to discuss and keep up software development and manage your software career Future Follow News and discussion of science and technology such as AI, VR, cryptocurrency, quantum computing, and more. Open Forem Follow A general discussion space for the Forem community. If it doesn't have a home elsewhere, it belongs here
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://x.com/SevenviewSteve/article/2019601506429730976
https://x.com/i/grok?conversation=2020672284319711463
Hotwire vs. React: A Guide for the "One-Person Framework"
New PCPcat Exploiting React2Shell Vulnerability to compromise 59,000+ Servers
ChatGPT - SPA 複雑さの懸念
I'm Going Back to jQuery in 2025 — Marc Boisvert-Dupras