React & Next.jsのDoS脆弱性（CVE-2025-55184）

概要

React および Next.js に影響を与えるサービス拒否（DoS）脆弱性 CVE-2025-55184 が発見されました。この脆弱性を悪用すると、攻撃者は特殊なリクエストを送信することでサーバーリソースを枯渇させ、サービスを停止させることができます。

脆弱性の詳細

基本情報

影響を受けるバージョン

React:

• 18.0.0 〜 18.2.x（18.3.0で修正）

Next.js:

• 13.0.0 〜 13.5.x
• 14.0.0 〜 14.0.x（14.1.0で修正）

技術的な詳細

この脆弱性は、ReactのサーバーサイドレンダリングIng（SSR）処理に存在します。攻撃者が特殊に細工されたリクエストを送信すると：

1. 無限ループの発生: 特定の条件下でレンダリング処理が無限ループに陥る
2. メモリリーク: 各リクエストがメモリを解放せずに蓄積
3. CPUの枯渇: イベントループがブロックされ、他のリクエストを処理できない

攻撃シナリオ

攻撃者 --[特殊なリクエスト]--> Next.jsサーバー
                                    |
                                    v
                            [SSR処理開始]
                                    |
                                    v
                            [無限ループ発生]
                                    |
                                    v
                            [メモリ/CPU枯渇]
                                    |
                                    v
                            [サービス停止]

影響範囲

影響を受けるアプリケーション

• Next.jsを使用したWebアプリケーション
• ReactのSSRを使用したカスタムサーバー
• Vercel、Netlifyなどにデプロイされたアプリケーション

影響を受けないケース

• クライアントサイドレンダリングのみのアプリケーション
• 静的サイト生成（SSG）のみを使用するアプリケーション

対策

即座に実施すべきこと

1. バージョンアップ

   # Next.jsの場合
   npm install next@14.1.0
   
   # Reactの場合
   npm install react@18.3.0 react-dom@18.3.0
   

2. 緊急の緩和策（アップデートが即座にできない場合）

   • リクエストサイズの制限を設定
   • レート制限の実装
   • WAF（Web Application Firewall）ルールの追加

長期的な対策

1. 依存関係の監視: AIKIDOなどのSCAツールで継続的に監視
2. 自動アップデート: Dependabotなどの設定
3. セキュリティテスト: 定期的なペネトレーションテスト

AIKIDOでの検出

AIKIDOは以下の方法でこの脆弱性を検出します：

1. SCAスキャン: 脆弱なバージョンのReact/Next.jsを自動検出
2. 修正提案: 安全なバージョンへのアップグレードをPRで提案
3. 優先度付け: CVSSスコアに基づく優先度表示
4. コンテキスト分析: SSRを使用しているかどうかを考慮した影響評価

タイムライン

参考リンク

• Next.js Security Advisory
• React Security Updates
• NVD - CVE-2025-55184