React Server Components にはサービス拒否の脆弱性が存在します

このDoS脆弱性は、攻撃者が悪意のあるHTTPリクエストを送信することで、サーバーのCPU使用率を一時的に極端に増加させ、サービスを停止させる可能性があります。攻撃者は、リクエストを大量に送信することで、サーバーリソースを枯渇させ、正当なユーザーがサービスにアクセスできなくなる状態を作り出すことができます。特に、Server Functionエンドポイントを頻繁に利用するアプリケーションや、外部からのリクエストを直接受け入れる構成のシステムにおいて、深刻な影響を受ける可能性があります。この脆弱性の悪用により、ビジネスの中断やデータ損失につながる可能性があります。

Applications utilizing React Server Components and relying on the vulnerable react-server-dom-parcel, react-server-dom-turbopack, or react-server-dom-webpack packages are at risk. This includes projects using modern React development workflows and those deploying Server Functions to handle backend logic. Specifically, teams with limited resources or those running applications on shared hosting environments are particularly vulnerable due to the potential for resource exhaustion.

• nodejs / server: Monitor CPU utilization on servers running react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. Look for sustained high CPU usage without corresponding user activity.

  top -n 1 | grep -E 'react-server-dom-parcel|react-server-dom-turbopack|react-server-dom-webpack'

• nodejs / server: Examine application logs for errors related to excessive CPU usage or exceptions thrown within Server Function endpoints.

grep -i 'cpu usage|server function error' /var/log/app/application.log

• generic web: Monitor HTTP request patterns to Server Function endpoints for unusual activity, such as a sudden surge in requests from a single IP address.

  curl -v <server_function_endpoint> # Examine request/response headers for anomalies

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-01-16
2. 公開日2026-04-10
3. EPSS 更新日2026-04-16

この脆弱性への最も効果的な対策は、影響を受けるバージョンのreact-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpackをバージョン19.0.5以降にアップデートすることです。アップデートが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを使用して、悪意のあるHTTPリクエストをフィルタリングすることを検討してください。また、Server Functionエンドポイントへのアクセスを制限し、レート制限を導入することで、攻撃の影響を軽減できます。アップデート後、サーバーのCPU使用率を監視し、異常な負荷がないか確認してください。