Harness(ハーネス)は、React Server ComponentsとNext.jsで発見された、重大な認証不要のリモートコード実行(RCE)脆弱性(CVE-2025-55182)に対するプロアクティブなソリューションを発表した。この脆弱性は、最大深刻度10.0の脆弱性であり、HarnessのTraceable Web Application Firewall(WAF)によって直ちに修正された。WAFは、脆弱性が公式に公開される前から、サーバーサイドテンプレートインジェクション(SSTI)やNode.jsインジェクション攻撃ルールを含む多層防御を提供していた。
この脆弱性はセキュリティー研究者のLachlan Davidson氏によって発見され、その重大な特性から特に危険だ。この脆弱性は、悪用に際して認証を必要とせず、サーバー全体のセキュリティー侵害を許し、標準的なデプロイメントに影響を与える。また、この脆弱性は悪用される確率が非常に高く、React 19、Next.js、そして多数の依存フレームワークを含むエコシステム全体に広範な影響を及ぼす。この脆弱性は、React Server Components(RSC)プロトコルにおける受信ペイロードの処理における安全でないデシリアライゼーションに起因する。これにより、攻撃者が制御するデータがサーバー側の実行ロジックに影響を与え、任意のJavaScriptコードを実行することが可能になる。
HarnessのTraceable WAFは、多層防御により即時の保護を提供する。脆弱性の開示以前から既に有効になっており、デフォルトで保護を提供していた。高度なペイロード分析エンジンは、複数の既存ルールを通じてこの脆弱性クラスに対する防御を行っていた。開示後、Harnessのセキュリティー研究チームは、複数の可能性のある悪用手法を特定し、追加の具体的な検出シグネチャーを開発した。シグネチャーベースの検出に加え、Traceableの行動分析は、検出を回避しようとする試みや新たな攻撃ベクトルを発見しようとする試みを特定する。
Harnessのセキュリティーに対する独自のアプローチは、研究者が研究者と開発者の両方の役割を果たすことで、脆弱性への迅速な防御策開発と対応を可能にする。この研究から製品化へのパイプラインにより、保護の迅速な導入、有効率の向上、継続的な改善、そしてプロアクティブな防御が実現する。CVE-2025-55182の開示は、現代のウェブアプリケーションが直面する脅威の状況が進化していることを如実に示している。フレームワークがより洗練されるにつれて、それらを標的とする攻撃ベクトルも進化する。Traceable by Harness WAFは、今日の脅威への対応だけでなく、将来の課題に対応するプラットフォームでもある。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
