WordPress は React を使っているけど、最近公表された React の RSC 脆弱性は関係ある?

  • Published
  • Modified
  • Author 齋藤智樹
  • コラムカテゴリ Webセキュリティ
  • コラムカテゴリ WordPress
  • Bookmark
  • -
    Copy

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新の Web セキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

2025 年 12 月、React Server Components (以下、RSC と略します) に深刻な脆弱性 (CVE-2025-55182) が公表されました。「WordPress も React を使っているけど大丈夫?」という疑問を持った方もいらっしゃるのではないでしょうか?

結論から言うと、WordPress のブロックエディターで使われている React は、今回の脆弱性の対象外です。ただし、WordPress と Next.js などのフレームワークを組み合わせた「ヘッドレス構成」を採用している場合は注意が必要です。

今回のRSCの脆弱性概要

今回の脆弱性は、RSC のサーバ側処理に存在します。攻撃者が細工したリクエストを送ることで、認証なしにサーバ上で任意のコードを実行できてしまう (RCE: Remote Code Execution) という深刻なものです。

CISA の Known Exploited Vulnerabilities (KEV) にも登録されており、すでに実際の攻撃に悪用されている前提で対応する必要があります。

影響を受けるのは以下の環境です。

  • React 19 系の react-server-dom-* パッケージを使用している環境
    • 影響: 19.0 / 19.1.0 / 19.1.1 / 19.2.0
    • 修正版: 19.0.1 / 19.1.2 / 19.2.1
  • Next.js 15.x / 16.x(App Router + RSC を使用)
    • 修正版: 15.5.7 / 16.0.7 など

※ Next.js 13.x / 14.x stable や Pages Router のみの構成は対象外とされています。しかし、14.3.0-canary.77+ などの特定のバージョンでは影響を受ける可能性があるので、以下の参考記事をご覧ください。

参考:

なぜ WordPress は対象外なのか

WordPress のブロックエディター (Gutenberg) は確かに React ベースで構築されています。しかし、これはブラウザ上で動作する管理画面の UI として使われているものです。

今回の脆弱性は「サーバ上で RSC を処理する」部分に存在します。WordPress の React はクライアントサイド(ブラウザ側)で動作しており、RSC のサーバ側処理は行っていないため、今回の脆弱性の影響を直接受けることはありません。

ヘッドレス WordPress 構成は要注意

一方で、WordPress を CMS として使いつつ、フロントエンドを Next.js (App Router) などのフレームワークで構築している「ヘッドレス構成」の場合は話が別です。

この構成では、WordPress 自体は影響を受けなくても、Next.js サーバが攻撃されると以下のような情報が漏洩する可能性があります。

  • WordPress への API トークン / アプリケーションパスワード
  • プレビューを閲覧するためのシークレット
  • CDN や S3 などの認証キー
  • その他、連携している各種 SaaS の API キー

これらは環境変数に格納されていることが多く、RCE によってサーバ内の情報を丸ごと取得されるリスクがあります。

対応方法

Next.js を使用している場合

Next.js の修正版にアップデートしてください。

npm install next@15.5.7
# または
npm install next@16.0.7

※ すぐにアップデートできない場合は、WAF でのブロックや IP 制限などのネットワーク側での一時対策を検討してください。

WordPress のみの構成の場合

今回の脆弱性については直接の対応は不要です。ただし、WordPress 本体やプラグインのアップデートは引き続き重要です。今回の件とは別に、WordPress は世界的に大きなシェアを持っており、常に攻撃対象となっているためです。

見落としがちなポイント

「うちは WordPress だけだから関係ない」と思っていても、以下のような Next.js 環境が残っていないか確認してください。

  • キャンペーンサイトや LP 用に別途構築した Next.js アプリ
  • ステージング・プレビュー環境
  • 過去に作って放置している開発環境(DNS だけ残っているケース)

WordPress の脆弱性情報だけを追うのではなく、こうした周辺システムのリスクを見落とさないよう、自社の Web 資産を「システム全体」として棚卸しし、管理する体制を整えましょう。

プライム・ストラテジーでは、WordPress に関するセキュリティサービスがいくつも提供されています。

また、無料の脆弱性情報のダイジェストも提供されています。

今回は WordPress 自体に脆弱性が出るものではありませんでしたが、もし WordPress にも影響を受ける脆弱性が出た場合など、これらを活用して情報を収集することがおすすめです。

【著者】
ゼノクリース合同会社 代表(Web
齋藤智樹

在学中から高校や予備校、IT 企業に携わり、講師とソフトウェアエンジニアとして活動。
大学卒業後 (2020年4月〜) はフリーランスエンジニアとして活動を始め、以下のような幅広い業務を行う。2021年3月に、業務を拡大させるためにゼノクリース合同会社を設立。スタディングテックの WEB 開発コース主任講師も務める。

プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。

お役立ち資料ダウンロード
YouTube動画を観る
  • Bookmark
  • -
    Copy