CVE-2025-55182

Exp

A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.

公開: 2025-12-03 最終更新: 2026-06-17 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2025-55182 は在野悪用が確認された重大脅威(100/100)。CVSS 深刻度は重大。悪用される可能性が高い(EPSS 99.56%、100 パーセンタイル) 根拠: CISA KEV に登録(追加日 2025-12-05)。Meta / React Server Components が対象で、弱点分類 CWE-502の悪用が確認されています。未認証でリモート管理権限を奪取されるリスクが極めて高い。 直近 1 日で EPSS が +17.55% 上昇。悪用への関心が高まっている可能性があります。 推奨対応: CISA の対応期限を過ぎています。緊急のパッチ適用を最優先に検討してください。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2025-55182 の CISA KEV レコード

名称: Meta React Server Components Remote Code Execution Vulnerability · CISA KEV の詳細

悪用情報の追加日: 2025-12-05

対応期限: 2025-12-12

求められる対応: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2025-55182 に関する公開 exploit 参照(Exploit-DB)

EDB-ID ソース 種別 公開 リンク
52506 exploit_db edb 2026-04-09 Exploit-DB ↗

CVE-2025-55182 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-15 82.01% 99.56% +17.55%
2 2026-06-11 85.16% 82.01% -3.15%
3 2026-06-10 85.16%

EPSS の全履歴 (全 57 件)

CVE-2025-55182 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
10.0 3.1 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H クリックして展開
攻撃ベクター (AV:N)
インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L)
攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:N)
事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。
ユーザーの関与 (UI:N)
メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。
スコープ (S:C)
脆弱箇所を足がかりに、別コンポーネントや別権限域まで影響が広がりうる。
機密性への影響 (C:H)
広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H)
権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H)
長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。
3.9 6.0 [email protected]

CVE-2025-55182 の弱点分類(列挙)

CVE-2025-55182 の GitHub Security Advisory

GHSA-fv66-9v8q-g76r · 深刻度: critical · エコシステム: npm — React Server Components are Vulnerable to RCE

CVE-2025-55182 の OS トラッカー

vendor priority summary link
redhat critical https://access.redhat.com/security/cve/CVE-2025-55182

CVE-2025-55182 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
facebook react 19.0.0 cpe:2.3:a:facebook:react:19.0.0:*:*:*:*:*:*:*
facebook react 19.1.0 cpe:2.3:a:facebook:react:19.1.0:*:*:*:*:*:*:*
facebook react 19.1.1 cpe:2.3:a:facebook:react:19.1.1:*:*:*:*:*:*:*
facebook react 19.2.0 cpe:2.3:a:facebook:react:19.2.0:*:*:*:*:*:*:*
vercel next.js >= 15.0.0, < 15.0.5 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 15.1.0, < 15.1.9 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 15.2.0, < 15.2.6 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 15.3.0, < 15.3.6 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 15.4.0, < 15.4.8 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 15.5.0, < 15.5.7 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js >= 16.0.0, < 16.0.7 cpe:2.3:a:vercel:next.js:*:*:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary77:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary78:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary79:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary80:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary81:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary82:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary83:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary84:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary85:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary86:*:*:*:node.js:*:*
vercel next.js 14.3.0 cpe:2.3:a:vercel:next.js:14.3.0:canary87:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:-:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary0:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary1:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary10:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary11:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary12:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary13:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary14:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary15:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary16:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary17:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary18:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary19:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary2:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary20:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary21:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary22:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary23:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary24:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary25:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary26:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary27:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary28:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary29:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary3:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary30:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary31:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary32:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary33:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary34:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary35:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary36:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary37:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary38:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary39:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary4:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary40:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary41:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary42:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary43:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary44:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary45:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary46:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary47:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary48:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary49:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary5:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary50:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary51:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary52:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary53:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary54:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary55:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary56:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary57:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary6:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary7:*:*:*:node.js:*:*
vercel next.js 15.6.0 cpe:2.3:a:vercel:next.js:15.6.0:canary8:*:*:*:node.js:*:*

CVE-2025-55182 の参考情報

cvelogic Threat Intelligence