最近、Next.js に CVE-2025-66478(Next.js 上では CVE-2025-55182) という脆弱性が報告されました。
この脆弱性は React Server Components(RSC) や react-server-dom-* コンポーネントに影響し、最悪の場合リモートコード実行のリスクがあります。
脆弱性の概要
- 影響を受けるコンポーネント:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
- 影響のある Next.js のバージョン:
- 15.0.0 ~ 15.5.6
- 影響のある React のバージョン:
- 19.0.0、19.1.0、19.1.1、19.2.0
- App Router や Server Components をサポートしているだけでも脆弱になる可能性あり
- 脆弱性の報告者:Meta の Lachlan Davidson 氏
- 公開日:2025年11月29日、修正開始日:12月1日
私が行った対応
- Next.js のアップデートBashコピー
npm install next@15.5.7 react@19.0.1 react-dom@19.0.1- 15.5.7 は修正済みバージョン
- React も対策済みバージョンに更新
- 依存関係の確認Bashコピー
npm ls react-server-dom-webpack- 脆弱性対象のコンポーネントが修正済みバージョンになっていることを確認
- ローカルでの動作確認Bashコピー
npm run dev npm run build npm start- App Router や Server Components を使用しているページが問題なく動作することを確認
- 本番環境への反映
- ステージングで動作確認後、本番環境にデプロイ
まとめ
- CVE-2025-66478 / CVE-2025-55182 は React Server Components をサポートしている Next.js アプリで潜在的に影響あり
- 対策済みの Next.js 15.5.7 以上、React 19.0.1 以上にアップデートすることで解決
- マイナーアップデートなので、基本的には既存のアプリ動作は変わらない
- 依存関係やビルド・動作確認を行うことで安全にアップデート可能
個人的な教訓としては、公式から脆弱性情報が出たら即座に対象バージョンを確認し、テスト環境で安全にアップデートすることが大切だと感じました。
この記事が役に立ったら
コーヒー1杯分の応援をいただけると励みになります!
Stripe
で安全に決済
