React/Next.js/Node.jsのCVEやGoogle Cloud・Cloudflareの世界的障害が重なった2025年の出来事を、振り返る。
2025年は、Web開発の中核(React/Next.js/Node.js)で重大な脆弱性が相次ぎ、さらにクラウド基盤(GCP)やインターネット基盤(Cloudflare)の大規模障害も起き、厄災年でした。
この記事は「学び」や「対策」ではなく、2025年に何が起きたかを振り返ります。
何があったかのか
React Server Components(RSC)に、認証不要のRCE任意コード実行につながり得る脆弱性があるとして、Reactチームが2025-12-03に公表しました。
NVDでは「HTTPリクエストからのペイロードを安全でない形でデシリアライズする」点が原因として説明されています。
影響のポイント:
react-server-dom-webpack / parcel / turbopack の該当バージョンが示され、修正版(例:19.0.1 / 19.1.2 / 19.2.1)が案内されています。面白いことに有志の方々が先にウェブページを改ざんして注意喚起するページを表示させる事件?がありました。犯罪です(笑)。でも本当にヤバい脆弱性だったのでありがたい?
何があったか:
Reactは2025-12-11に続報を出し、React2Shell対応の検証過程で、追加の脆弱性が見つかったと公表しました。
シークレットキーを環境ファイルではなくサーバー側に直接書いてるとキーが抜かれる可能性がありました。
内訳(React公式の整理):
補足:不完全修正の扱いが話題に
NVDでは、CVE-2025-67779について「CVE-2025-55184対応の修正が不完全で、特定ケースでDoSを防げない」趣旨の説明があり、SNSでも「更新したつもりでも再更新が必要」な点が大きく拡散しました。
何があったか:
Next.jsのmiddlewareで認可チェックを行っている場合に、認可をバイパスできる可能性があると整理されました。
NVDの説明では「middleware内で認可している場合に迂回が可能」とされ、影響するバージョン範囲と修正版(例:12.3.5 / 13.5.9 / 14.2.25 / 15.2.3 など)が提示されています。
VercelのGitHub Security Advisoryでも同趣旨が説明されています。
何があったか:
Node.jsは2025-07-15のセキュリティリリースで、**HashDoS(ハッシュ衝突によるDoS)**に関するCVE-2025-27209を扱っています。
NVDでは、Node.js v24.xで使用されるV8側の変更(rapidhash)により、攻撃者が衝突を作ってDoSを誘発できる可能性がある、という趣旨で説明されています。
何があったか:
Google Cloudの公式インシデントページでは、2025-06-12(PDT)にService Controlが参照するポリシーデータ(Spannerテーブル)へ変更が入ったことを起点に、想定外の空フィールドを含むデータがグローバルに複製され、各リージョンでのクォータチェック処理が影響を受けた旨が説明されています。
結果としてService Controlがクラッシュループに陥り、複数プロダクトに広範な影響が出たと記録されています。
何があったか:
Cloudflareは2025-11-18に発生した障害について公式ポストモーテムを公開し、Bot Managementが使う“feature file”生成ロジックのバグが発端で、Cloudflareの多くのサービスに影響が出たと説明しました。
同社は、原因がサイバー攻撃ではないことを明確にしています。
2025年は、アプリ側(React/Next.js/Node.js)も土台となるクラウド/ネットワーク層(GCP・Cloudflare)も同時に揺れる珍しい年になった。
各プロダクトは速いペースでパッチや復旧策を出したが、**「更新したはずなのに追加CVE」「単一変更が全球障害」**など、リリースフローと可観測性の重要さを痛感させられた。
どうせクローズドや見えることが無い...とか思わずに適切な設定をするべきですね。
2026年は、静かに暮らしたい。
