2025-12-04 の一覧へ戻るホーム
RCE Vulnerability in React and Next.js

2025/12/04 1:00

RCE Vulnerability in React and Next.js

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Reactパッケージ(19.0.0‑19.2.0)にCVE‑2025‑55182の脆弱性が報告され、Next.js 15.x・16.xのApp Routerを使用するフレームワークも影響。
重要ポイント

  1. 修正済みバージョン:React 19.0.1/19.1.2/19.2.1、Next.js 15.x‑16.x全安定版(例 15.5.7, 16.0.7)にアップグレード。
  2. Canary影響:14.3.0‑canary.77以降は脆弱性が残るため、14.x安定版へダウングレードまたは 14.3.0‑canary.76 を使用。
  3. 対象パッケージ
    react-server-dom-parcel
    , 
    react-server-dom-turbopack
    , 
    react-server-dom-webpack
    が脆弱性を含む。

本文

以下のバージョンにおいて、特定のReactパッケージが脆弱性を抱えています。

  • React

    • 19.0.0
    • 19.1.0
    • 19.1.1
    • 19.2.0

  • 該当パッケージを利用しているフレームワーク(Next.js 15.x・16.x の App Router を使用するもの)

この脆弱性は、上流で CVE‑2025‑55182 として追跡されています。

修正済みバージョン

製品バージョン
React19.0.1, 19.1.2, 19.2.1
Next.js15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

実験的 Canary リリース

脆弱性は 14.3.0‑canary.77 以降の実験的 Canary ビルドにも影響します。
14.3 の Canary ビルドを使用しているユーザーは、以下のいずれかを行うべきです。

  • 安定版 14.x にダウングレードする
  • 14.3.0‑canary.76 を利用する

推奨事項

安定版 15.x または 16.x の Next.js を使用している全ユーザーは、直ちにパッチ適用済みの安定版へアップグレードしてください。

脆弱性が影響を与える React パッケージ

  • react-server-dom-parcel
  • react-server-dom-turbopack
  • react-server-dom-webpack

同じ日のほかのニュース

一覧に戻る →

2025/12/04 3:40

Ghostty is now non-profit

Ghostty は501(c)(3)非営利団体 Hack Club の財務スポンサーシップを受け、税優遇とコンプライアンスを確保しつつ無料・オープンソースで提供されます。 重要ポイント 1. **持続可能性**:個人依存から脱却し、寄付で運営を安定化。 2. **信頼性**:非営利体制により資金の乱用や商業転売が防止。 3. **公共利益**:ターミナル技術を公益優先で発展させ、広範な採用促進。

2025/12/03 5:33

Valve reveals it’s the architect behind a push to bring Windows games to Arm

SteamがArmチップ向けPCゲームの移植を支援し、Steam Frameは実質的にAndroidデバイスやノートPCでSteamを遊べるトロイの木馬。FexとProtonがx86コードをARMへJIT変換し、開発者は移植作業を減らせる。重要ポイント 1. ValveはArm向けオープンソース技術に資金提供している。 2. Fex+ProtonでWindowsゲームをスマホやノートPC上で実行可能。 3. Steam Frameは「VRヘッドセット」ではなく、ArmデバイスでSteam体験を拡張するためのハードウェア。

2025/12/04 2:44

Reverse engineering a $1B Legal AI tool exposed 100k+ confidential files

**要約(300字以内)** FilevineのAI法務プラットフォームで、サブドメイン `margolis.filevine.com` にアクセスすると、Box API管理者トークンが返る脆弱性を発見。1) **発見と報告**:2025年10月27日から責任ある報告を行い、Filevineは迅速に修正。2) **技術的詳細**:エンドポイント `/prod/recommend` に `{"projectName":"Very sensitive Project"}` を送るだけで、全Boxファイルシステムへの完全アクセス権が得られた。3) **リスクと教訓**:機密文書やHIPAA保護資料を数百万件抽出可能となり、法律事務所・クライアントに深刻被害。AI法務テック企業はデータ保護体制を徹底すべきである。