脆弱性CVE-2025-55182ついてのお知らせ

On-premise WAF(旧SecureSphere)機器ご利用のお客様へ、

下記に脆弱性情報(CVE-2025-55128,CVE-2025-66478)をご案内いたします。

 

React Server Components における緊急度の高い脆弱性CVE-2025-55182およびCVE-2025-66478が公開されました。

CVSSスコアは10/10となります。

 

React Server Components バージョン 19.0.0、19.1.0、19.1.1、および 19.2.0 における認証前のリモートコード実行の脆弱性となり、

react-server-dom-parcel、react-server-dom-turbopack、および react-server-dom-webpack の各パッケージへ本脆弱性が含まれます。

 

On-premise WAF(旧SecureSphere)を用いた本脆弱性への軽減対応に関しましては、ThreatRadar Emergency Feedにて配信されるシグネチャもしくは、下記カスタム ポリシー、カスタムシグネチャ作成および設定が必要となります。

※2025/12/8時点ではタレスDIS社より、管理サーバ(MX)におけるThreatRadar Emergency Feed(緊急フィード)へ軽減対応策(シグネチャ)がプッシュ(配信)されております。

 

上記配信されるシグネチャは、本件脆弱性を悪用した殆どのペイロードをカバーするように設計されておりますが、一部のペイロードは依然として回避できる可能性があります。

そのため、本脆弱性への対処をご希望のお客様に関しましては、下記緩和策のご利用が推奨となります。

下記カスタムセキュリティポリシーへは3つのシグネチャが含まれており、すべてのユーザーに十分な保護を提供しております。

 

カスタムシグネチャ作成手順:

1.MXへGUIログインし、Main>Setup>Signaturesへ移動します。

Signature pattern:  part="\x5b\x22\x24",rgxp="\x5b\x22\x24\w{1,100}:(\w{1,100}):"
Protocols(Selected:): HTTP and HTTPS
Search Signature in(Selected:): RequestBody

6.再度手順3で作成したディクショナリを画面左側My Dictionariesより選択し、画面中央+アイコンをクリックします。

 

7.ポップアップ画面より、下記パラメータを入力し"Create"を押下します。

Signature Name: CVE-2025-55182 : React2Shell - Unsafe Deserialization #2

Signature pattern:  part="\x3a\x22\x24",rgxp="\x3a\x22\x24\w{1,100}:(\w{1,100}):"

 

8.再度手順3で作成したディクショナリを画面左側My Dictionariesより選択し、画面中央+アイコンをクリックします。

 

9.ポップアップ画面より、下記パラメータを入力し"Create"を押下します。

10.Main>Polies>Securityへ移動します。

 

11.画面中央＋アイコンをクリックし、Web Serviceを押下します。

 

12.ポップアップ画面より、下記パラメータを入力しCreateを押下します。
Name: CVE-2025-55182 ※名前は任意に変更可能です。
From Scratch
Type: HTTP Protocol Signatures

 

13.Policy Rulesタブより+をクリックしDictionary Nameより上記手順3で作成したDictionaryを選択します。
Enabledへチェックをし、下記設定します。
Severity: No Alert
Action None
Followed Action: 設定なし

 

14.ApplyToタブを選択し、本緩和策を有効にするサーバグループへチェックを入れ保存を押下します。

 

カスタムセキュリティポリシー作成手順:

1.MXへGUIログインし、Main>Polies>Securityへ移動します。

3.ポップアップ画面より、下記パラメータを入力します。
Name: CVE-2025-55182 : React2Shell - Unsafe Deserialization ※左記ポリシー名称を入力します。
From Scratch: 選択します。
Type: Web Service Customを選択します

4.Match CriteriaタブのAvailable Match CriteriaよりHTTP Request Method、HTTP Request Header Value、HTTP Request Header Name、 Signatureを↑アイコンをクリックしMatch Criteria移動させます。

operation: At Least One

values: POST

 

Opearation: At Least One

Name: Content-Type

Value: multipart/form-data

 

operation: At Least One

match values:

part: Next-Action

part: rsc-action-id

 

Operation : At Least One

User-Defined Signatures: 下記をSelectedへ移動します

6.Match Criteriaタブ

Followed Action: 各種事前設定のアクションセットを選択します。(任意)
Severity: High,Medium,Low,Informativeより選択します。
Action: Blockを選択します。

8.画面右上Saveボタンを押下します。

緩和手順設定対象機器:

On premise WAF(旧SecureSphere)すべて

On premiseWAF(旧SecureSphere)への影響:

On premise WAF(旧SecureSphere)は脆弱性対象React Server Componentsを含まないため、
本脆弱性の影響を受けません。

CVE-2025-55182脆弱性情報:

React影響バージョン等詳細は下記外部サイトをご参照ください。

・https://www.imperva.com/blog/imperva-customers-protected-against-react-server-components-rsc-vulnerability/

 

同Thales(Imperva)社他製品に関する本件脆弱性関連情報となります。

・https://diamond.nvc.co.jp/news/cloudwaf/20251204

お知らせ(外部メーカサイト):

Imperva Community:

https://community.imperva.com/blogs/sarah-lamont1/2025/12/04/manual-mitigation-for-cve-2025-55182-react2shell

※情報閲覧に関してサポートポータルへのログインが必要な場合がございます。