サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
DEV Community Follow A space to discuss and keep up software development and manage your software career Future Follow News and discussion of science andtechnology such asAI,VR,cryptocurrency, quantum computing, and more. Open Forem Follow A general discussion space for the Forem community. Ifit doesn't have a home elsewhere,it belongs here
Denial of Service and Source Code Exposure inReact Server ComponentsSecurity researchers have found and disclosed two additional vulnerabilities inReact Server Components while attempting to exploit the patches in last week’s critical vulnerability. These new vulnerabilities do not allow for Remote Code Execution. The patch forReact2Shell remains effective at mitigating the Remote Code Executi
Back toBlogThursday, December 11th 2025Next.jsSecurity Update: December 11, 2025Posted by Two additional vulnerabilities have been identified in theReact Server Components (RSC) protocol. These issues were discovered whilesecurity researchers examined the patches forReact2Shell. Importantly, neither of these new issues allow for Remote Code Execution. The patch forReact2Shell remains fully
はじめに 当記事は、react2shell の PoC 攻撃手法についての調査です。 注意事項 当記事の内容は、あくまで PoC 攻撃手法の研究目的です。 また、当記事の内容には間違い・認識違いが含まれる可能性があります。本番環境での動的な解析を実施しておらず、コードリーディングを中心とした調査であるためです。 また、コードによる裏取りは行っているものの、 生成AI によるハルシネーションの可能性も否定できません。 最後に、当記事が万が一攻撃を助長する場合、 記事を非公開にいたします。 TODO プロトタイプについての更に正確な解説 $@構文周りのコードリーディングと裏取り Server Functions 周りの正確な表現本家React コードからの引用の追加 チャンクの処理の流れのコードリーディング裏取りと解説 結局何が問題だったのか、の解説 攻撃の概要 今回の PoC では、
What? A 10.0 critical severity vulnerablility affecting server-side use ofReact.js, tracked asCVE-2025-55182 inReact.js andCVE-2025-66478 specifically for theNext.js framework. This vulnerability was responsibly disclosed by myself, Lachlan Davidson on 29 November 2025 PT to the Meta team. Initial disclosure and patch release was performed byReact andVercel on 3 December 2025 PT. Update: Pr
React2Shell (CVE-2025-55182): Everything You Need to Know About the CriticalReact VulnerabilityDetect and mitigateReact2Shell (CVE-2025-55182), critical RCE vulnerability inReact andNext.js exploited in the wild. Organizations should patch urgently. TL;DR:CVE-2025-55182 is a critical unauthenticated RCE vulnerabilities in theReact Server Components (RSC) "Flight" protocol. Default configurat
See theReact2Shellsecurity bulletin for the latest updates. Link to headingSummaryA critical-severity vulnerability inReact Server Components (CVE-2025-55182) affectsReact 19 and frameworks that useit, includingNext.js (CVE-2025-66478). Under certain conditions, specially craftedrequests could lead to unintended remote code execution. Wecreated new rules to address this vulnerability and q
There is an unauthenticated remote code execution vulnerability inReact Server Components. We recommend upgrading immediately. On November 29th, Lachlan Davidsonreported asecurity vulnerability inReact that allows unauthenticated remote code execution by exploiting a flaw in howReact decodes payloads sent toReact Server Function endpoints. Even if your app does not implement anyReact Server
Next.jsは従来より、デフォルトで高いパフォーマンスを実現するフレームワークであることを重視してきました。App RouterにおいてもSSR・Streaming・Cacheなど様々な最適化により、高いパフォーマンスの実現を目指してきました。しかし一方で、積極的なCache活用や複雑すぎるCacheの影響範囲は、開発者に多くの混乱をもたらしました。 v16で導入されたCache Componentsは、Next.jsのCacheのメンタルモデルを大きく変更するものであり、これまでの多くの課題を解決しうるリアーキテクチャです。この記事では、Cache Componentsが何を解決しようとしているのか、なぜリアーキテクチャに至ったのかなどの歴史的経緯を解説します。Next.jsの歴史Next.jsには現在、Pages RouterとApp Routerという2つのRouterが同梱さ
はじめに こんにちは。Restaurant Service Devグループの高岡です。現在ぐるなびウエディングのフロントエンド開発・運用を行っています。 ぐるなびウエディングは結婚式場検索・予約サービスで、検索・会場詳細・特集・ランキングなど多様な機能を持つ大規模なウェブアプリケーションです。 そのぐるなびウエディングはリニューアルプロジェクトが進行しており、今年の7月に二次会検索と会場ページをリリースしました。 今回は大規模なウェブサービスのリニューアルにおいてチーム開発の効率性と保守性を両立するフロントエンドアーキテクチャをどう設計するか、ぐるなびウエディングリニューアルプロジェクトで実践した取り組みについて紹介します。 目次 はじめに 目次 開発体制 採用した技術スタック フレームワーク:Next.js App Router スタイリング:CSS Modules グローバルな状態管理
#思考の癖 #言葉 特に #プログラミング の技術発信の文脈で、「モダンかどうかを重視するのは本質的ではない」といった批判がある。 ここで批判されているのは例えば、企業で採用している技術スタックが新しいフレームワークかどうかで人材獲得の競争をすることの不毛さなどであり、この種の指摘に正当性がないわけではない。 とはいえ、私は技術におけるモダンさとは単なる新しさ(少なくともリリース日が最近であること)とはかなり独立した概念だと思っている。 ここでは、私が「技術においてモダンさとは何だと思っているか」をメモしていく ある技術がモダンであるとは「解いている問題のレベルが高いこと」で定義される これは一般的に言われる「新規性」とある程度は近い むしろ私は「新規性」という概念自体をこう説明したほうが良いと思っている(以降「新規性」という言葉は使っていない) 「問題そのものは古いが、解決方法だけが新し
革新的なAPI は、時としてその真価を理解されるまでに時間を要します。React Server Components そして "use client" ディレクティブもその一例でしょう。Next.js App Router とともに登場して以来、絶えず議論の的となってきたこのAPI について改めて、光を当ててみたいと思います。 フレームワークロックインを解消する「標準API」 RSC における "use client" ディレクティブAPI は、フレームワークロックインを生み出すどころか、むしろ解消するための革新的なアプローチです。 RSC はNext.js App Router とともに登場したためにNext.js の機能の一部であるという誤解や、そのような漠然とした印象が依然として拭えないのも事実ですが、RSC の一部である "use client" を含めてこれらは Re
React Server Components: Do They Really Improve Performance? A data-driven comparison of CSR, SSR, and RSC under the same app and test setup, focusing on initial-load performance and the impact of client- vs server-side data fetching (including Streaming + Suspense). Have you heard ofReact Server Components? You probably have.It's everything anyone talks about in theReact community in the last
1リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
