2025年12月に公開されたCVE-2025-55182（React2Shell）は、React Server Componentsに存在する認証不要の重大なRCE脆弱性で、細工した単一リクエストによりサーバー上で任意コード実行が可能となる。

Next.jsを含む主要RSC対応フレームワークがデフォルト構成のまま影響を受け、PoCも公開済みで大規模悪用の危険が高い。対策としては、該当React／Next.jsのパッチ適用が必須で、補助的にFalcoやSysdigによるランタイム検知、WAFによる一時的防御が推奨される。