重大なReactのバグ (CVE-2025-55182) が数千の暗号プラットフォームをトークンドレインのリスクにさらす

ソース：CryptoNewsNet オリジナルタイトル：The Protocol: Bug that can drain all your tokens impacting ‘thousands’ of sites オリジナルリンク：

ネットワークニュース

重大なReactの脆弱性が暗号プラットフォームに即時の脅威をもたらす

Reactサーバーコンポーネントの重大な脆弱性が複数の脅威グループによって積極的に悪用されており、数千のウェブサイト — その中には暗号プラットフォームも含まれる — が即座に危険にさらされている。影響を受けたユーザーはすべての資産が流出する可能性がある。

この欠陥はCVE-2025-55182として追跡され、React2Shellと呼ばれている。攻撃者は認証なしで影響を受けたサーバー上でリモートコードを実行できる。この問題は12月3日にReactのメンテナが公開し、最も深刻な重大度スコアを割り当てた。

公開直後、セキュリティ研究者は、金銭的動機のある犯罪者や疑わしい国家支援のハッカーグループによる広範な悪用を観測し、クラウド環境全体の未パッチのReactおよびNext.jsアプリケーションを標的にしている。

脆弱性の仕組み

Reactサーバーコンポーネントは、ウェブアプリケーションの一部をユーザーのブラウザではなくサーバー上で直接実行するために使用される。脆弱性は、Reactがこれらのサーバーサイド関数へのリクエストをデコードする方法に起因している。

簡単に言えば、攻撃者は特別に作成されたウェブリクエストを送信し、サーバーを騙して任意のコマンドを実行させることができる。これにより、システムの制御権を攻撃者に渡すことになる。

このバグはReactバージョン19.0から19.2.0までに影響し、Next.jsなどの人気フレームワークで使用されているパッケージも含まれる。脆弱なパッケージがインストールされているだけで、しばしば悪用が可能となる。

直ちに取るべき措置

影響を受けたReactバージョンを使用している暗号プラットフォームやWeb3サービスは、未然に不正アクセスや資産流出を防ぐために、即座にパッチを適用することを優先すべきである。