React：ハッカーがJavaScriptライブラリを通じてウェブサイトに暗号通貨窃取プログラムを仕込み、修正パッチを公開

Techub News のニュースによると、Cointelegraph の報道によると、ネットワークセキュリティの非営利組織であるセキュリティアライアンス（SEAL）は、最近オープンソースのフロントエンドJavaScriptライブラリReactの脆弱性を利用した攻撃が増加していることを明らかにしました。Reactは主にユーザーインターフェースの構築に使用されており、特にWebアプリケーション分野で広く利用されています。Reactチームは12月3日に、ホワイトハッカーのLachlan Davidsonがこのソフトウェアに安全性の脆弱性を発見したことを公開しました。この脆弱性により、認証されていないリモートコード実行が可能となり、攻撃者はこれを利用して悪意のあるコードを埋め込み、実行できるようになります。SEALは、この脆弱性（番号 CVE-2025-55182）を悪意のある者が暗号通貨サイトにウォレットの空にするコードを密かに埋め込むために悪用していると指摘しています。

Reactは12月3日にCVE-2025-55182の脆弱性修正プログラムをリリースし、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackを使用しているすべてのユーザーに対して、直ちにアップグレードしてこの脆弱性を解消することを推奨しています。チームは補足説明として、「アプリケーションのReactコードがサーバーサイドコンポーネントを使用していない場合は、この脆弱性の影響を受けません。アプリケーションがReactサーバーサイドコンポーネントをサポートするフレームワーク、ビルドツール、またはビルドプラグインを使用していない場合も同様です」と述べています。