この日はセキュリティ速報が 1 件公開されました。AWS はセキュリティ情報 AWS-2025-030 を発行し、React Server Flight プロトコルに影響する CVE-2025-55182 について注意を促しました。この脆弱性は React バージョン 19.0/19.1/19.2 および Next.js 15.x/16.x や特定の canary リリース (App Router 使用時) に影響し、影響を受けるアプリケーションサーバー上で認証されていないリモートコード実行を許す可能性があります。なお CVE-2025-66478 は CVE-2025-55182 の重複として却下されています。マネージド AWS サービスを利用する顧客に影響はなく対応不要ですが、自身の環境で影響を受けるバージョンを実行している顧客は直ちにパッチ適用版 (React 19.0.1/19.1.2/19.2.1、Next.js のパッチ版) へ更新するよう推奨されています。
セキュリティ速報: React Server Components の RCE 脆弱性 CVE-2025-55182 (AWS-2025-030) — 該当環境は即時パッチ適用を推奨
Bulletin ID: AWS-2025-030
Scope: AWS
Content Type: Important (requires attention)
Publication Date: 2025/12/03 20:00 PM PST
Description:
AWS is aware of the recently disclosed CVE-2025-55182 which affects the React Server Flight protocol in React versions 19.0, 19.1, and 19.2, as well as in Next.js versions 15.x, 16.x, Next.js 14.3.0-canary.77 and later canary releases when using App Router. This issue may permit unauthorized remote code execution on affected applications servers.
AWS is aware of CVE-2025-66478, which has been rejected as a duplicate of CVE-2025-55182.
Customers using managed AWS services are not affected, and no action is required. Customers running an affected version of React or Next.js in their own environments should update to the latest patched versions immediately:
- Customers using React 19.x, with Server Functions and RSC Components should update to the latest patched versions 19.0.1, 19.1.2, and 19.2.1
- Customers using Next.js 15-16 with App Router should update to a patched version