タグ

関連タグで絞り込む (0)

  • 関連タグはありません

タグの絞り込みを解除

ReactとCVEとNext.jsに関するYassLabのブックマーク (5)

  • Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 - Qiita

    やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext.jsアプリケーションがサイバー攻撃を受け、暗号通貨マイナーを仕込まれました。CVE-2025-55182が公開されてから2日後のことでした。 Note: この記事はインシデント調査レポートを基に、Claude Codeが執筆しました。 TL;DR CVE-2025-55182公開から2日後に攻撃を受けた Next.js 15.x / 16.x のServer Actions脆弱性でRCE(リモートコード実行)された 暗号通貨マイナー(Monero)と複数のバックドアを仕込まれた サーバー内部の認証情報が漏洩した可

    Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 - Qiita
    YassLab
    YassLab 2025/12/21
    “2025年12月、運用していた複数のNext.jsアプリケーションがサイバー攻撃を受け、暗号通貨マイナーを仕込まれました。CVE-2025-55182が公開されてから2日後のことでした。”
    リンク

  • React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 - piyolog

    2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの? React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日国内でも React を用いたシステムを公開しているホストが多数

    React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 - piyolog
    YassLab
    YassLab 2025/12/20
    “明示的にReact Server Function を使用(実装)しているかにかかわらず影響を受ける ... デフォルトの設定で構築された環境(create-next-appで作成され本番用にビルドされた標準的な Next.jsアプリケーション等)が影響を受ける”
    リンク

  • Lessons from React2Shell

    DEV Community Follow A space to discuss and keep up software development and manage your software career Future Follow News and discussion of science and technology such as AI, VR, cryptocurrency, quantum computing, and more. Open Forem Follow A general discussion space for the Forem community. If it doesn't have a home elsewhere, it belongs here

    Lessons from React2Shell
    YassLab
    YassLab 2025/12/15
    “The vulnerability wasn't an implementation bug that slipped through code review. It was the predictable consequence of violating a fundamental security principle: complex deserialization of untrusted data leads to remote code execution. If you can't do it perfectly don't do it at all.”
    リンク

  • 個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】|ねころこ

    はじめに「あれ、CPUクレジットがゼロになってる…?」 12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。 うちのインスタンスは毎日夜中に再起動するのだが、再起動直後、クレジットが回復し始めた途端に一気に消費され、その後枯渇していた。 これは、私の個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録です。 異変の発見最初の違和感個人開発で運用していたNext.jsアプリケーション。普段は静かに動いているはずのt2.microのCPUクレジットが何故か枯渇している。 詳しく調べてみると、 ps aux --sort=-%cpu | head -20 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND ubuntu 2175 0.0 0.0

    個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】|ねころこ
    YassLab
    YassLab 2025/12/13
    "個人開発で運用していたNext.jsアプリ / 仮想通貨マイニングの踏み台にされていた / 公開から3日で攻撃が来る / 攻撃者は脆弱なサーバーを自動スキャンしている. 規模は関係ない. インターネットに公開した瞬間, 攻撃対象"
    リンク

  • React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

    注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)が確認されています。 脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。 なお、「Next.js」など他製品において、同様の影響を受けます。 --- 2025年 12 月 10 日更新 --- 脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。 今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。 --- 2025年 12 月 12 日更新 ---

    React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
    YassLab
    YassLab 2025/12/11
    “2025年 12 月 10 日更新 --- 本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。今後、この脆弱性を突いた攻撃が拡大するおそれがある / 「Next.js」など他製品において、同様の影響を受けます”
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2026 Hatena. All Rights Reserved.