![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(201.6, 86%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(19.2, 14.000000000000002%, 11%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ESD%3C/text%3E%3C/svg%3E)
こんにちは@河野 拓
Microsoft Q&A にお問い合わせいただきありがとうございます。
Azure DevOps Server (2019 および 2022) は、CVE-2025-55182 を含む、React Server Components に関連する脆弱性の影響を受けません。
この CVE は、React Server Components (RSC) や react-server-dom-* などのサーバーサイド React ランタイムを使用するアプリケーションに影響を与え、信頼できないシリアル化されたデータがサーバー上で実行される可能性があります。Azure DevOps Server は React Server Components を使用しておらず、アーキテクチャの一部として React の「サーバー関数」を公開していません。
Azure DevOps Server は、サーバーレンダリングされたビューと UI 操作にクライアントサイド JavaScript を使用する ASP.NET/ASP.NET Core 上に構築されています。一部のクライアントサイド UI 要素は React ライブラリを使用している場合がありますが、これらはクライアントサイドでのみ動作するため、サーバーサイドの React 実行に限定されるこの脆弱性の影響を受けません。
したがって、この CVE に関して、Azure DevOps Server 2019 または 2022 に対して緩和策やアップグレードは必要ありません。
Azure DevOps Server と並行して個別のカスタムアプリケーション(たとえば、React Server Components を使用する Next.js またはその他の Node.js アプリケーション)をホストしている場合は、これらのアプリケーションを個別に評価し、パッチを適用する必要があります。
Azure DevOps Server の脆弱性に関する情報については、https://msrc.microsoft.com/update-guide を参照してください。Azure DevOps Server 2019 は製品リストに掲載されていません。
ただし、CVE-2025-55182 は Azure Web Application Firewall に影響を与え、Microsoft はこの脆弱性を軽減するための手順を公開しています。
参照:https://techcommunity.microsoft.com/blog/azurenetworksecurityblog/protect-against-react-rsc-cve-2025-55182-with-azure-web-application-firewall-waf/4475291