概要

このリポジトリは、React Server Components（RSC）の設計上の欠陥を突く、CVE-2025-55182 に対する概念実証（PoC）を収めたものです。影響を受けるのは Next.js や Waku といった RSC を採用するフレームワークで、認証前にリモートから任意コードが実行され得る重大な脆弱性を示します。リポジトリには複数の PoC スクリプトと説明が含まれており、セキュリティ調査やパッチ適用の検証に使える一方で、実運用環境での実行や悪用は避けるべきです。

リポジトリの統計情報

• スター数: 2
• フォーク数: 0
• ウォッチャー数: 2
• コミット数: 3
• ファイル数: 4
• メインの言語: JavaScript

主な特徴

• CVE-2025-55182（RSC に起因する Pre-Authentication RCE）に対する PoC を収録
• Next.js や Waku 等、RSC 実装を持つフレームワーク全般に影響することを想定
• 複数の PoC スクリプト（段階的な検証用ファイル）と README（韓国語）を含む
• 研究・検証目的の資料であり、実運用での利用は非推奨

技術的なポイント

React Server Components はサーバー側でコンポーネントを評価し、クライアントに必要なデータやレンダリング結果を渡す仕組みです。CVE-2025-55182 はこのフローの中で、サーバー側が外部から渡されたデータやシリアライズ済みの表現を不適切に解釈・評価してしまうことにより、認証前のリクエストから任意のコード実行につながる点を突いています。影響範囲は RSC の設計をそのまま採用しているフレームワークに広く及び、サーバー側で実行されるコンポーネントが持つ特権を奪われると、システム全体の機密性・完全性・可用性が深刻に損なわれます。

このリポジトリには段階的な PoC ファイル（“00-very-first-rce-poc”、“01-submitted-poc.js”、“02-meow-rce-poc”）が含まれ、概念的にどのように攻撃が成立するかを示します。セキュリティ上の取り扱いとしては、詳細な攻撃手順やコードをそのまま実運用で試すべきではなく、ベンダー提供のパッチや公式アドバイザリの適用が最優先です。防御策としては、フレームワークの最新化、RSC の一時無効化または外部入力の厳格な検証・サニタイズ、サーバープロセスの権限分離、ネットワークレベルでのアクセス制御や監査ログの強化などが推奨されます。なお、本 PoC は研究目的での検証用であり、詳細な再現手順の公開は悪用リスクがあるため注意が必要です。

プロジェクトの構成

主要なファイルとディレクトリ：

• 00-very-first-rce-poc: file
• 01-submitted-poc.js: file
• 02-meow-rce-poc: file
• README.md: file

まとめ

RSC の設計に起因する深刻な RCE を示す PoC リポジトリ。対応は速やかなフレームワーク更新が必須です。

リポジトリ情報：

• 名前: React2Shell—korean-
• 説明: 説明なし
• スター数: 2
• 言語: JavaScript
• URL: https://github.com/gguatit/React2Shell—korean-
• オーナー: gguatit
• アバター: https://avatars.githubusercontent.com/u/162287131?v=4

READMEの抜粋：

React2Shell CVE-2025-55182

개요

이 저장소는 React Server Components(RSC)의 치명적인 원격 코드 실행(RCE) 취약점인 CVE-2025-55182에 대한 개념 증명(PoC) 익스플로잇을 포함하고 있습니다. 이 취약점은 Next.js, Waku를 포함한 RSC를 구현하는 모든 React 기반 프레임워크에 영향을 미칩니다.

취약점 상세 정보

항목	내용
CVE ID	CVE-2025-55182
유형	Pre-Authentication Remote Code Execution (인증 전 원격 코드 실행)
심각도	CRITICAL (치명적)
CVSS 3.1 점수	10.0 (최고 심각도)
CVSS 벡터	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
**CN…