2025-12-09 リリース内容#

【緊急リリース】Next.js環境における脆弱性（React2Shell）検知ロジックの変更について#

現在、React Server Components における深刻な脆弱性 CVE-2025-55182（通称：React2Shell）が報告されています。本脆弱性は「React Server Components 関連パッケージ（react-server-dom-webpack 等）」および「Next.js」の両方に影響を及ぼしますが、Next.js を利用している環境において、脆弱性の重大度が正しく評価されない（SSVC が低く算出される）課題が確認されました。

これを受け、FutureVuls ではユーザの皆様が本脆弱性を適切にトリアージできるよう、Next.js環境における評価ロジックの緊急アップデートを実施いたしました。

1. 対応の概要#

Next.js に対する脆弱性検知において、これまで検知されていた「GHSA-ID」に加え、実質的な根本原因である「CVE-ID」としても検知するように変更しました。（※過去の検知履歴を保持するため、既存の GHSA-ID も継続して検知されます）

対象パッケージ	変更前 (Before)	変更後 (After)
Next.js	GHSA-9qr9-h5gf-34mp	CVE-2025-55182 および GHSA-9qr9-h5gf-34mp
React Server Components関連 (react-server-dom-webpack等)	CVE-2025-55182	CVE-2025-55182 (変更なし)

※React Server Components 関連パッケージのみをご利用の環境では、以前より正しく CVE-ID で検知されており、本変更による影響はありません。

2. 対応の背景と理由#

課題：SSVC評価が低く算出されてしまう問題#

12/09 15:00 (JST) 時点で、 Next.js の脆弱性アドバイザリ（GHSA-9qr9-h5gf-34mp）に対応する CVE-ID が、GitHub Seciruty Advisory 上で Alias として登録されていない状況です。 (GHSA-9qr9-h5gf-34mp のデータソースはこちら)

これにより、Next.js の検知には有効な CVE-ID が紐付かない状態となり、以下の弊害が発生していました。

KEV（悪用が確認された脆弱性）として認識されない - 本来この脆弱性は KEV に登録されていますが、GHSA-ID 単体では KEV カタログとの照合が行われません。
SSVC評価が本来より低く算出されてしまう - KEV に該当しないと判定されるため、Exploitation（悪用状況）が「None」となり、SSVC の決定ロジックにより優先度が「Immediate（即時）」ではなく、本来より低く評価されていました。

FutureVulsでの特別対応#

本脆弱性の深刻度と、すでに悪用が確認されている現状を鑑み、FutureVuls では以下の特別対応を実施しました。

Next.jsの検知（GHSA-9qr9-h5gf-34mp）に対し、根本原因である「CVE-2025-55182」もマッピングするよう変更

これにより、KEV 情報が正しく参照されるようになり、SSVC 判断が 「Immediate（即時対応）」 や 「Out-of-cycle（定例外対応）」 として適切に評価されるようになります。

3. ユーザ様へのお願い#

本リリース適用後、次回スキャン時より Next.js の脆弱性が CVE-2025-55182 として検出されます。

対応のお願い:
- SSVC 評価が「Immediate」や「Out-of-cycle」に上昇する可能性があります。タスク一覧で CVE-2025-55182 を確認し、優先的に対応をご検討ください。
- オーガニゼーション内の全サーバに対しスキャンを即時実行したい場合は、全サーバ一括スキャン機能をご利用ください。
注意点（タスクの移行について）:
- これまで GHSA-9qr9-h5gf-34mp として検出されていたタスクは、これまでの対応履歴を保持するため、そのままのステータスで検知され続けます。
- 同時に、別のタスク（新規タスク）として CVE-2025-55182 が検出されます。
- 新しい CVE-ID のタスクで管理する場合は、必要に応じて旧タスク（GHSA-ID）を手動でクローズ（または非表示）してください。

FutureVuls は、今後も最新のセキュリティ動向に合わせ、迅速かつ適切な脆弱性管理をサポートしてまいります。