2025年12月3日、ReactとNext.jsのメンテナーは、React Server Components(CVE-2025-55182)における、認証前のリモートコード実行(RCE)の重大な脆弱性を公開しました。この脆弱性にはCVSSスコア10.0が付与されています。
この脆弱性は、RSCのバージョン19.0.0、19.1.0、19.1.1、19.2.0に影響を及ぼし、Next.js(CVE-2025-66478)を含むReact Server Componentsをサポートするすべてのフレームワークにも影響します。
Oktaの対応
すべての本番環境システムを修正バージョンにアップグレード
Auth0またはOkta SDKを使用してReactまたはNext.jsアプリケーションを構築するアプリケーション開発者に必要なアクションを公開
脆弱でないシステムに対する機会的スキャン活動は検知しましたが、この脆弱性が Auth0またはOktaのサービスに対して悪用された事例は確認しておりません
Auth0とOkta SDKユーザー向け対応
必要なアクションと開発者向けガイダンスについては、以下の該当するKnowledge Base記事をご参照ください:
