React のこのバグは非常に深刻です。react.dev/blog/2025/12/0…kS React 19のサーバーコンポーネント / サーバーアクション / サーバー関数のエコシステムが影響を受けます。アプリケーションで明示的に「use server」やサーバーアクションを使用していない場合でも、プロジェクトがReactサーバーコンポーネントのランタイム(つまり react-server-dom-* パッケージ)に依存している限り、攻撃を受ける可能性があります。 こう理解してよろしいでしょうか。攻撃者は、RSC をサポートする任意のインターフェースに特別に細工した悪意のあるペイロードを送信し、ログインしたり権限を持たずにサーバー上で直接任意のコードを実行できるということです。 AIに解釈させてみましょう:デシリアライズ処理に欠陥があるようです。攻撃者は悪意のあるフォームデータ/JSON/マルチパートペイロードを作成し、サンドボックスを回避して、ネイティブNode.js関数(eval、関数コンストラクタ、child_processなど)を直接起動し、リモートコード実行を実現できます。 誰もができるだけ早くアップグレードする必要があります。
スレッドを読み込み中
X から元のツイートを取得し、読みやすいビューを準備しています。
通常は数秒で完了しますので、お待ちください。