2025-12-12 の一覧へ戻るホーム
Two new RSC protocol vulnerabilities uncovered

2025/12/12 6:37

Two new RSC protocol vulnerabilities uncovered

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

(欠落していた詳細を補い、表現を明確化したもの)

Summary

React の Server Components (RSC) は現在、CVE‑2025‑55183 と CVE‑2025‑55184 という新たに特定された脆弱性の対象となっていますが、攻撃者がサーバー上で任意コードを実行することは できません

  • CVE‑2025‑55184 は高い深刻度の Denial‑of‑Service (DoS) 欠陥です。App Router のエンドポイントをデシリアライズすると無限ループが発生し、サーバー処理が停止します。
  • CVE‑2025‑55183 は中程度の深刻度の Source Code Exposure 問題で、他の Server Functions のコンパイル済みソースコードを返す可能性があります。これによりビジネスロジックやインライン化されたシークレットが漏れる恐れがあります。

両脆弱性は React2Shell パッチ・スイートの調査中に発見され、App Router と RSC を使用した Next.js アプリケーションに限定されます。旧式の Pages Router で構築されたプロジェクトには影響ありませんが、全開発者はセキュリティ衛生を保つためにパッチ版へ更新すべきです。

修正は以下のリリースで利用可能です:

  • DoS 修正 (CVE‑2025‑55184):Next.js 14.2.34 以降、15.x および 16.x の全バージョンに含まれます。
  • Source‑code exposure 修正 (CVE‑2025‑55183):Next.js 14.2.3415.0.x 以降、および 15.x と 16.x の全バージョンをカバーします。

ワークアラウンドは存在せず、アップグレードが必須です。すべてのユーザーは自分のリリースラインで最新パッチ版をインストールする必要があります—特に Next.js ≥ 13.3(または 14.0.x/14.1.x)では、最新の 14.2.x リリースへアップグレードしてサービス停止や機密ロジック漏洩の可能性を防止してください。

発見クレジット:GMO Flatt Security Inc. の RyotaK と Andrew MacPherson。

本文

注記:
一部のパッチ版はまだ npm へ公開中です。下記に掲載されているバージョンが未リリースの場合、しばらくしてから再確認してください。

脆弱性

React Server Components(RSC)プロトコルにおいて、React2Shell のパッチを検証中に 2 件の追加脆弱性が判明しました。いずれもリモートコード実行は起こりませんので、React2Shell 用のパッチは完全に有効です。

これらの脆弱性は上流の React 実装に由来します:

  • CVE‑2025‑55183 – ソースコード露出
  • CVE‑2025‑55184 – サービス拒否(DoS)

本アドバイザリでは、App Router を使用する Next.js アプリケーションへの下流影響を追跡します。詳細は React のブログ記事 をご覧ください。

影響範囲

脆弱性深刻度説明
CVE‑2025‑55184 (DoS)特別に作成された HTTP リクエストを任意の App Router エンドポイントへ送ると、デシリアライズ時に無限ループが発生します。これによりサーバプロセスがハングし、その後のリクエストがブロックされます。
CVE‑2025‑55183 (ソースコード露出)特別に作成された HTTP リクエストを送ると、Server Function が他の Server Functions のコンパイル済みソースコードを返します。これにより、環境変数ではなくハードコーディングされたビジネスロジックや秘密情報が漏れる恐れがあります。

対応済み・対象となる Next.js バージョン

App Router を使用し React Server Components を利用しているアプリは影響を受けます。以下の表に、各脆弱性で影響を受けるバージョンと修正済みバージョンを示します。

バージョンDoS (CVE‑2025‑55184)ソースコード露出 (CVE‑2025‑55183)修正版
≥13.314.2.34 へアップグレード
14.x14.2.34 へアップグレード
15.0.6
15.1.10
15.2.7
15.3.7
15.4.9
15.5.8
15.6.0‑canary.59
16.0.9
16.1.0‑canary.17

Pages Router アプリケーションは影響を受けませんが、パッチ版へのアップグレードを推奨します。

必要な対策

すべてのユーザーは、リリースラインにおいて最新のパッチ版へアップグレードしてください:

  • Next.js ≥13.3、14.0.x、または 14.1.x を使用している場合は、14.2.x の最新版へアップグレードします。

ワークアラウンドは存在せず、パッチ版へのアップグレードが必須です。

リソース

  • CVE‑2025‑55184 (DoS):ReactNext.js
  • CVE‑2025‑55183 (ソースコード露出):ReactNext.js
  • React ブログ: Denial of Service and Source Code Exposure in React Server Components
  • 以前のセキュリティアドバイザリ: CVE‑2025‑66478

発見者への感謝

RyotaK(GMO Flatt Security Inc.)Andrew MacPherson に、これらの脆弱性を発見し責任ある形で報告していただいたことに感謝します。本アドバイザリでは、まだアップグレードしていない開発者を保護するために技術的詳細を意図的に限定しています。

同じ日のほかのニュース

一覧に戻る →

2025/12/12 3:04

GPT-5.2

## Japanese Translation: **OpenAIのGPT‑5.2リリース** OpenAIは、プロフェッショナルな知識作業を対象とした3つのバリアント(Instant、Thinking、Pro)を含む新しいモデルシリーズGPT‑5.2を公開しています。 **パフォーマンスハイライト** *スピード & コスト*: GPT‑5.2 Thinkingは、歴史的指標に基づくと、人間専門家のコストの1%未満で、出力速度が11倍以上速いです。 *精度*: GDPval(44職種)では、Thinkingが新しい最先端70.9 %を達成し、業界プロフェッショナルを70.9 %のタスクで上回ります。また、SWE‑Bench Proで55.6 %、SWE‑Bench Verifiedで80 %を達成し、幻覚(hallucinations)を約30 %削減します。 *長文コンテキスト & ビジョン*: モデルはOpenAI MRCRv2(≈100 %精度、256kトークン)で新たな最先端を設定し、チャート推論とソフトウェアインターフェース理解のエラー率を半減します。 *ツール使用*: GPT‑5.2 ThinkingはTau2‑bench Telecomで98.7 %を達成し、遅延感受性ワークフローにおいてGPT‑5.1を上回ります。 *科学ベンチマーク*: ProはGPQA Diamondで93.2 %、FrontierMath(Tier 1–3)で40.3 %成功率、ARC‑AGI‑1で>90 %を達成し、ThinkingはARC‑AGI‑2で54.2 %を記録します。 **ユーザーへの影響** 平均的なChatGPT Enterpriseユーザーは毎日40–60分の節約を報告しており、重度利用者は週に10時間以上削減しています。この効率向上により、特定タスクの人件費が99 %超で削減される可能性があります。 **インプリケーション** GPT‑5.2の広範な機能(スプレッドシート、プレゼンテーション、コード、画像認識、長文コンテキスト推論、ツール使用、複雑な多段階プロジェクト)は、金融・ソフトウェア工学・科学研究などのプロフェッショナルドメインでAI採用を加速させる位置づけです。

2025/12/12 5:46

Denial of service and source code exposure in React Server Components

## Japanese Translation: React は Server Components 機能における 2 つの重大なセキュリティ脆弱性(CVE‑2025‑55184(Denial of Service、CVSS 7.5)と CVE‑2025‑55183(Source Code Exposure、CVSS 5.3))に対するパッチをリリースしました。いずれの脆弱性も Remote Code Execution を可能にしないため、既存の React2Shell パッチは有効なままです。 バグは `react-server-dom-webpack`、`react-server-dom-parcel`、および `react-server-dom-turbopack` のそれぞれ 19.0.0/1、19.1.0‑1.2、および 19.2.0‑1 バージョンに影響します。修正リリースは 19.0.2、19.1.3、そして 19.2.2 です;これらのいずれかを直ちにインストールしてください。 対象となる React フレームワーク/バンドラーには Next.js、react‑router、waku、@parcel/rsc、@vite/rsc-plugin、および rwsdk が含まれます。アプリケーションが Server Components またはそれをサポートするバンドラー/プラグインを使用していない場合、影響はありません。 DoS 脆弱性は、特定の HTTP リクエストを逆直列化すると無限ループに陥り、ソースコード脆弱性は任意の Server Function の文字列表現(stringified body)を返し、ハードコーディングされた秘密情報が漏洩する恐れがあります。 React Native を monorepo で使用している場合、影響を受ける `react-server-dom-*` パッケージだけを更新すれば十分です;core の `react/react-dom` バージョンは変更不要です。 ホスティングプロバイダーは一時的な緩和策を適用していますが、サーバー停止や秘密情報の偶発的漏洩を防ぐために開発者は依存関係を直ちに更新する必要があります。 --- *上記の要約をそのまま保持したい場合は、元のまとめを繰り返してください。

2025/12/12 3:17

Rivian Unveils Custom Silicon, R2 Lidar Roadmap, and Universal Hands Free

## Japanese Translation: RivianはエンドツーエンドのAIスタックを拡張することで自動運転車市場でリーダーになるという野心を固めています。 - **ハードウェア&ソフトウェア**:同社は、5 nmマルチチッププロセッサ「RAP1」を発表しました。このプロセッサは1600 sparse INT8 TOPSを提供し、新しいGen 3 Autonomy Computerで秒間50億ピクセルの処理が可能です。また、自社開発のAIコンパイラとプラットフォームソフトウェアも構築しています。 - **認知モジュール**:ACM 3は2026年後半にR2で初登場し、最初はLiDARを装備せず、後にカメラとレーダーとともに追加されます。 - **ソフトウェア展開**:Universal Hands‑FreeはGen 2 R1T/R1S車両向けにリリースされ、米国・カナダの3.5 百万マイル以上の道路で明確に描画されたレーンラインをカバーし、現在のオーナーの支援走行領域を拡大します。 - **Autonomy+**:階層化された機能セットが2026年初頭に登場予定で、1回限り2,500ドルまたは月額49.99ドルで提供されます。 - **データ基盤**:RivianはUnified Intelligenceを中心とした組織再編を行っており、このデータフレームワークはテレメトリ、クラウドモデル、サービスシステム、および顧客機能を結びつけ、予知保全・診断・AIツールの実現を可能にします。 - **音声アシスタント**:次世代Rivian Assistantは2026年初頭にGen 1/2車両で登場し、R2ではより強力なインフォテインメントコンピュータを使用して完全オフラインで動作させることでレイテンシを低減します。 - **サービスワークフロー**:テレメトリと車両履歴を分析するAI駆動の専門家システムはすでにサービスワークフローに組み込まれており、技術者が問題箇所を迅速に特定できるようになっています。類似ツールはモバイルアプリにも計画されており、自助診断をサポートします。 これらの動きは、最先端のコンピューティングハードウェア、データ中心のプラットフォーム、拡張された支援走行機能、およびAI強化保守を車両ラインナップ全体に統合することで、Rivianの競争力を深めます。