セキュリティアドバイザリ: CVE-2025-66478

投稿者: Josh Story @ joshcstory
Sebastian Markbåge @ sebmarkbage

12月6日 午後9:05 PST: 2025年12月4日午後1:00 PT時点でアプリケーションがオンラインでパッチが適用されていなかった場合、最も重要なものから始めて、使用しているすべてのシークレットをローテーションすることを強く推奨します。

12月6日 午前7:29 PST: 影響を受けるNext.jsアプリを更新するためのnpmパッケージがリリースされました。npx fix-react2shell-nextを使用して今すぐ更新するか、GitHubリポジトリにアクセスして詳細を確認してください。

React Server Components (RSC) プロトコルに重大な脆弱性が特定されました。この問題はCVSS 10.0と評価されており、パッチが適用されていない環境で攻撃者が制御するリクエストを処理する際にリモートコード実行を可能にします。

この脆弱性は上流のReact実装に起因します（CVE-2025-55182）。このアドバイザリ（CVE-2025-66478）は、App Routerを使用するNext.jsアプリケーションへの下流への影響を追跡しています。

影響

脆弱なRSCプロトコルにより、信頼できない入力がサーバーサイドの実行動作に影響を与える可能性がありました。特定の条件下で、攻撃者は意図しないサーバー実行パスをトリガーするリクエストを作成できました。これにより、パッチが適用されていない環境でリモートコード実行が発生する可能性があります。

すべてのユーザーは直ちにパッチが適用されたバージョンにアップグレードする必要があります。具体的な手順については、必要なアクションセクションを参照してください。

影響を受けるNext.jsバージョン

App RouterでReact Server Componentsを使用するアプリケーションが以下の環境で実行されている場合に影響を受けます：

• Next.js 15.x
• Next.js 16.x
• Next.js 14.3.0-canary.77以降のcanaryリリース

Next.js 13.x、Next.js 14.x stable、Pages Routerアプリケーション、およびEdge Runtimeは影響を受けません。

修正済みバージョン

脆弱性は以下のパッチが適用されたNext.jsリリースで完全に解決されています：

• 15.0.5
• 15.1.9
• 15.2.6
• 15.3.6
• 15.4.8
• 15.5.7
• 16.0.7

また、Next.js 15および16のパッチが適用されたcanaryリリースもリリースしました：

• 15.6.0-canary.58（15.x canaryリリース用）
• 16.1.0-canary.12（16.x canaryリリース用）

これらのバージョンには、強化されたReact Server Components実装が含まれています。

必要なアクション

すべてのユーザーは、使用しているリリースラインの最新のパッチが適用されたバージョンにアップグレードする必要があります：

npm install next@15.0.5 # 15.0.x用
npm install next@15.1.9 # 15.1.x用
npm install next@15.2.6 # 15.2.x用
npm install next@15.3.6 # 15.3.x用
npm install next@15.4.8 # 15.4.x用
npm install next@15.5.7 # 15.5.x用
npm install next@16.0.7 # 16.0.x用
npm install next@15.6.0-canary.58 # 15.x canaryリリース用
npm install next@16.1.0-canary.12 # 16.x canaryリリース用

Next.js 14.3.0-canary.77以降のcanaryリリースを使用している場合は、最新の安定版14.xリリースにダウングレードしてください：

npm install next@14

現在PPRを有効にするためにcanaryリリースを使用している場合は、脆弱性の修正を含みながらPPRのサポートを継続する15.6.0-canary.58に更新できます。

古いバージョンにパッチを適用する他の方法については、このディスカッション投稿を参照してください。

npx fix-react2shell-nextを実行して、バージョンをチェックし、上記の推奨バージョンに従って決定論的なバージョンアップを実行できるインタラクティブツールを起動してください。詳細については、GitHubリポジトリを参照してください。

npx fix-react2shell-next

回避策はありません—パッチが適用されたバージョンへのアップグレードが必要です。

環境変数のローテーション

バージョンにパッチを適用してアプリケーションを再デプロイした後、すべてのアプリケーションシークレットをローテーションすることを推奨します。環境変数の操作については、こちらのドキュメントを参照してください。

リソース

• セキュリティアドバイザリ: React (CVE-2025-55182)、Next.js (CVE-2025-66478)
• Reactブログ: Critical Security Vulnerability in React Server Components
• Vercel Knowledge Base: React2Shell Security Bulletin
• Netlify Blog: Netlify's response to the critical React security vulnerability
• AWS Security Blog: China-nexus cyber threat groups rapidly exploit React2Shell vulnerability
• Google Cloud Blog: Responding to CVE-2025-55182: Secure your React and Next.js workloads
• Fastly Blog: Fastly's Proactive Protection for React2Shell, Critical React RCE CVE-2025-55182 and CVE-2025-66478
• Akamai Blog: CVE-2025-55182: React and Next.js Server Functions Deserialization RCE

発見

この脆弱性を発見し、責任を持って開示してくれたLachlan Davidsonに感謝します。

まだアップグレードしていない開発者を保護するため、このアドバイザリでは技術的詳細を意図的に制限しています。