WordPress は React を使っているけど、最近公表された React の RSC 脆弱性は関係ある?

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

2025 年 12 月、React Server Components (以下、RSC と略します) に深刻な脆弱性 (CVE-2025-55182) が公表されました。「WordPress も React を使っているけど大丈夫?」という疑問を持った方もいらっしゃるのではないでしょうか?

結論から言うと、WordPress のブロックエディターで使われている React は、今回の脆弱性の対象外です。ただし、WordPress と Next.js などのフレームワークを組み合わせた「ヘッドレス構成」を採用している場合は注意が必要です。

今回のRSCの脆弱性概要

今回の脆弱性は、RSC のサーバ側処理に存在します。攻撃者が細工したリクエストを送ることで、認証なしにサーバ上で任意のコードを実行できてしまう (RCE: Remote Code Execution) という深刻なものです。

CISA の Known Exploited Vulnerabilities (KEV) にも登録されており、すでに実際の攻撃に悪用されている前提で対応する必要があります。

影響を受けるのは以下の環境です。

参考:

• Critical Security Vulnerability in React Server Components – React
• Security Advisory: CVE-2025-66478 | Next.js

なぜ WordPress は対象外なのか？

WordPress のブロックエディター (Gutenberg) は確かに React ベースで構築されています。しかし、これはブラウザ上で動作する管理画面の UI として使われているものです。

今回の脆弱性は「サーバ上で RSC を処理する」部分に存在します。WordPress の React はクライアントサイド(ブラウザ側)で動作しており、RSC のサーバ側処理は行っていないため、今回の脆弱性の影響を直接受けることはありません。

ヘッドレス WordPress 構成は要注意

一方で、WordPress を CMS として使いつつ、フロントエンドを Next.js (App Router) などのフレームワークで構築している「ヘッドレス構成」の場合は話が別です。

この構成では、WordPress 自体は影響を受けなくても、Next.js サーバが攻撃されると以下のような情報が漏洩する可能性があります。

これらは環境変数に格納されていることが多く、RCE によってサーバ内の情報を丸ごと取得されるリスクがあります。

対応方法

Next.js を使用している場合

Next.js の修正版にアップデートしてください。

npm install next@15.5.7
# または
npm install next@16.0.7

※ すぐにアップデートできない場合は、WAF でのブロックや IP 制限などのネットワーク側での一時対策を検討してください。

WordPress のみの構成の場合

今回の脆弱性については直接の対応は不要です。ただし、WordPress 本体やプラグインのアップデートは引き続き重要です。今回の件とは別に、WordPress は世界的に大きなシェアを持っており、常に攻撃対象となっているためです。

見落としがちなポイント

「うちは WordPress だけだから関係ない」と思っていても、以下のような Next.js 環境が残っていないか確認してください。

WordPress の脆弱性情報だけを追うのではなく、こうした周辺システムのリスクを見落とさないよう、自社の Web 資産を「システム全体」として棚卸しし、管理する体制を整えましょう。

プライム・ストラテジーでは、WordPress に関するセキュリティサービスがいくつも提供されています。

• 簡易脆弱性診断
• KUSANAGI マネージドサービス
• KUSANAGI Security Edition

また、無料の脆弱性情報のダイジェストも提供されています。

• Security Advisory for WordPress

今回は WordPress 自体に脆弱性が出るものではありませんでしたが、もし WordPress にも影響を受ける脆弱性が出た場合など、これらを活用して情報を収集することがおすすめです。