【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について

1. はじめに：何が起きたのか 2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。 今回、特に事態を重くしている要因は以下の2点です。 土台である React 起因の欠陥 Next.js 固有の実装ミスではなく、その基盤である React (RSC) の処理機構そのものに脆弱性が存在しました。そのため、フレームワーク側での表面的な対処ではなく、根本的な修正が必要となりました。 標準構成での影響 何か特殊な設定をした場合に限らず、Next.js (App Router) の「デフォルトの状態」で RSC が動作しているため、普通に利用しているプロジェクトのほぼ全てが影響対象となってしまいました。 開発者のミスではなく、私たちが信

[internetkun]

これまでもRailsなんかでもRCEはあったしNext.jsとかReactとか関係なくフレームワークの危険な脆弱性なんてこれまでも枚挙に暇はないと思うんだけどなあ

[ys0000]

存在だけは朝にチラ見してたがCVSS 10.0か。絶対にスルー出来ないヤツ。

[akymrk]

c.f. "If your app's React code does not use a server, your app is not affected by this vulnerability" https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

[sjn]

CVSS満点すげぇ…

[wkwkhautbois]

JavaのSeiializableで起きるやつみたいな感じ?(そっちも詳しくないが…)

[ka-ka_xyz]

サーバコンポーネント使ってないのでとりあえず傍観（デシリアライズ絡みか……

[gogatsu26]

“この脆弱性は、例えるなら 「関係者専用の裏口に、鍵がかかっていなかった」 ような状態”

[manaten]

本件はまさに汎用性・利便性（気軽さ）とリスクのトレードオフだと感じる。ServerActionsは便利だけど、一歩間違えればリモートからの任意関数実行だからなあ

[kshtn]

データとして受け取って、デシリアライズしてる文字列を「命令」として実行しちゃう理由が解んない。クライアントからの入力をそのまま eval に食わせてますみたいな話？

[pico-banana-app]

Next.jsとReactに認証不要RCE脆弱性とかヤバすぎw すぐアプデしないと詰むやつじゃんwww