React Server Componentsにおいて、認証されていないリモートコード実行(RCE)の恐れがある脆弱性が公開されております。
Cloud WAF では、「Illegal Resource Access」カテゴリルールにてこの攻撃に対応可能です。
本攻撃をブロックするには、WAFポリシーの「Illegal Resource Access」カテゴリをブロックモードに設定してください。
■例外環境
下記コンポーネントの①バージョンと一致し、かつ以下の②パッケージをご利用の場合は、
お客様にてカスタムルールを追加していただく必要がございます。
対応手順の3つのルールを作成後アラートモードで適用し、問題ない場合は後ほどブロックモードに
移行する対応をご検討ください。
①React Server Componentsのバージョンが19.0.0、19.1.0、19.1.1または19.2.0を利用
②パッケージreact-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpackを利用
■対応手順
Applicaitonタブ > Websites > 任意のサイト > Security > Rulesの[Add Rule]より、
Editorに以下の内容をペーストして①から③のカスタムルールを作成してください。
①
Method == POST & HeaderValue contains {"Content-Type";"multipart/form-data"} & (PostData contains "$ACTION_REF_" | PostData contains "$ACTION_ID_")
②
Method == POST & HeaderValue contains {"Content-Type";"multipart/form-data"} & (PostData contains "$ACTION_REF_" | PostData contains "$ACTION_ID_") & PostData contains "id" & PostData contains "bound" & (PostData contains "vm#runInThisContext" | PostData contains "#prototype" | PostData contains "#__proto__" | PostData contains "#constructor")
③
Method == POST & HeaderValue contains {"Content-Type";"multipart/form-data"} & (PostData contains "$ACTION_REF_" | PostData contains "$ACTION_ID_") & PostData contains "id" & PostData contains "bound"
[Rules 設定画面]
ご不明点がございましたら、弊社サポートまでお問い合わせください。
公開日:2025年12月4日
追記
メーカより、バックエンドのグローバルルールでの対応が完了した旨の連絡がございました。
先にご案内したカスタムルールを無効化していただいて問題ございません。
■参考:メーカBlog
更新日:2025年12月5日