Translate vulnerability blog post

Author: smikitky

src/content/blog/2025/12/03/critical-security-vulnerability-in-react-server-components.md

@@ -1,8 +1,8 @@
 ---
-title: "Critical Security Vulnerability in React Server Components"
+title: "React Server Components における重大なセキュリティ脆弱性"
 author: The React Team
 date: 2025/12/03
-description: There is an unauthenticated remote code execution vulnerability in React Server Components. A fix has been published in versions 19.0.1, 19.1.2, and 19.2.1. We recommend upgrading immediately.
+description: React Server Components に、認証不要のリモートコード実行の脆弱性があります。バージョン 19.0.1、19.1.2、19.2.1 で修正が公開されました。直ちにアップグレードすることを推奨します。
 
 ---
 
@@ -12,55 +12,55 @@ December 3, 2025 by [The React Team](/community/team)
 
 <Intro>
 
-There is an unauthenticated remote code execution vulnerability in React Server Components.
+React Server Components に、認証不要のリモートコード実行の脆弱性があります。
 
-We recommend upgrading immediately.
+直ちにアップグレードすることを推奨します。
 
 </Intro>
 
 ---
 
-On November 29th, Lachlan Davidson reported a security vulnerability in React that allows unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints. 
+11 月 29 日、Lachlan Davidson 氏が React のセキュリティ脆弱性を報告しました。これは、React が React Server Function のエンドポイントに送信されたペイロードをデコードする方法の欠陥を悪用することで、未認証状態でのリモートコード実行を可能にするものです。
 
-Even if your app does not implement any React Server Function endpoints it may still be vulnerable if your app supports React Server Components. 
+アプリが React のサーバ関数 (Server Function) のエンドポイントを実装していない場合でも、React Server Components をサポートしている場合は脆弱性の影響を受ける可能性があります。
 
-This vulnerability was disclosed as [CVE-2025-55182](https://www.cve.org/CVERecord?id=CVE-2025-55182) and is rated CVSS 10.0.
+この脆弱性は [CVE-2025-55182](https://www.cve.org/CVERecord?id=CVE-2025-55182) として公開されており、CVSS スコアは 10.0 です。
 
-The vulnerability is present in versions 19.0, 19.1.0, 19.1.1, and 19.2.0 of:
+以下のパッケージのバージョン 19.0、19.1.0、19.1.1、および 19.2.0 に脆弱性が存在します。
 
 * [react-server-dom-webpack](https://www.npmjs.com/package/react-server-dom-webpack)
 * [react-server-dom-parcel](https://www.npmjs.com/package/react-server-dom-parcel)
 * [react-server-dom-turbopack](https://www.npmjs.com/package/react-server-dom-turbopack?activeTab=readme)
 
-## Immediate Action Required {/*immediate-action-required*/}
+## 直ちに対応を {/*immediate-action-required*/}
 
-A fix was introduced in versions [19.0.1](https://github.com/facebook/react/releases/tag/v19.0.1), [19.1.2](https://github.com/facebook/react/releases/tag/v19.1.2), and [19.2.1](https://github.com/facebook/react/releases/tag/v19.2.1). If you are using any of the above packages please upgrade to any of the fixed versions immediately.
+バージョン [19.0.1](https://github.com/facebook/react/releases/tag/v19.0.1), [19.1.2](https://github.com/facebook/react/releases/tag/v19.1.2), および [19.2.1](https://github.com/facebook/react/releases/tag/v19.2.1) で修正が導入されました。上記のパッケージを使用している場合は、直ちに修正済みバージョンのいずれかにアップグレードしてください。
 
-If your app’s React code does not use a server, your app is not affected by this vulnerability. If your app does not use a framework, bundler, or bundler plugin that supports React Server Components, your app is not affected by this vulnerability.
+アプリの React コードがサーバを使用していない場合、この脆弱性の影響は受けません。アプリが React Server Components をサポートするフレームワーク、バンドラ、またはバンドラプラグインを使用していない場合、この脆弱性の影響は受けません。
 
-### Affected frameworks and bundlers {/*affected-frameworks-and-bundlers*/}
+### 影響を受けるフレームワークとバンドラ {/*affected-frameworks-and-bundlers*/}
 
-Some React frameworks and bundlers depended on, had peer dependencies for, or included the vulnerable React packages. The following React frameworks & bundlers are affected: [next](https://www.npmjs.com/package/next), [react-router](https://www.npmjs.com/package/react-router), [waku](https://www.npmjs.com/package/waku), [@parcel/rsc](https://www.npmjs.com/package/@parcel/rsc), [@vitejs/plugin-rsc](https://www.npmjs.com/package/@vitejs/plugin-rsc), and [rwsdk](https://www.npmjs.com/package/rwsdk). 
+一部の React フレームワークやバンドラが、脆弱性のある React パッケージに依存しているか、peer dependency として依存しているか、あるいはそれらを含んでいました。影響を受ける React フレームワークやバンドラは以下の通りです：[next](https://www.npmjs.com/package/next), [react-router](https://www.npmjs.com/package/react-router), [waku](https://www.npmjs.com/package/waku), [@parcel/rsc](https://www.npmjs.com/package/@parcel/rsc), [@vitejs/plugin-rsc](https://www.npmjs.com/package/@vitejs/plugin-rsc), and [rwsdk](https://www.npmjs.com/package/rwsdk).
 
-We will update this post with upgrade instructions on how to upgrade as they become available.
+アップグレード方法に関する指示が利用可能になり次第、この記事を更新します。
 
-### Hosting Provider Mitigations {/*hosting-provider-mitigations*/}
+### ホスティングプロバイダによる緩和策 {/*hosting-provider-mitigations*/}
 
-We have worked with a number of hosting providers to apply temporary mitigations.
+我々は多くのホスティングプロバイダと協力し、一時的な緩和策 (mitigation) を適用しています。
 
-You should not depend on these to secure your app, and still update immediately.
+ただしアプリの保護のためにこれらに依存しないでください。直ちにアップデートを適用するべきです。
 
-### Vulnerability overview {/*vulnerability-overview*/}
+### 脆弱性の概要 {/*vulnerability-overview*/}
 
-[React Server Functions](https://react.dev/reference/rsc/server-functions) allow a client to call a function on a server. React provides integration points and tools that frameworks and bundlers use to help React code run on both the client and the server. React translates requests on the client into HTTP requests which are forwarded to a server. On the server, React translates the HTTP request into a function call and returns the needed data to the client.
+[React サーバ関数](https://react.dev/reference/rsc/server-functions) を使用すると、クライアントからサーバ上の関数を呼び出すことができます。React コードがクライアントとサーバの両方で実行できるよう、React はフレームワークやバンドラが使用する統合ポイントとツールを提供しています。React はクライアント上で起きたリクエストを HTTP リクエストに変換し、それがサーバに転送されます。サーバ上では、React はこの HTTP リクエストを関数呼び出しに変換して、必要に応じてデータをクライアントに返します。
 
-An unauthenticated attacker could craft a malicious HTTP request to any Server Function endpoint that, when deserialized by React, achieves remote code execution on the server. Further details of the vulnerability will be provided after the rollout of the fix is complete.
+認証されていない攻撃者が任意のサーバ関数エンドポイントに対して悪意のある HTTP リクエストを作成することで、React がそれをデシリアライズする際に、サーバ上でリモートコード実行が可能になります。脆弱性のさらなる詳細については、修正のロールアウトが完了した後に提供される予定です。
 
-## Update Instructions {/*update-instructions*/}
+## 更新手順 {/*update-instructions*/}
 
 ### Next.js {/*update-next-js*/}
 
-All users should upgrade to the latest patched version in their release line:
+全ユーザは、各リリースラインの最新のパッチ適用済みバージョンにアップグレードすべきです。
 
 ```bash
 npm install [email protected]   // for 15.0.x
@@ -72,17 +72,17 @@ npm install [email protected]   // for 15.5.x
 npm install [email protected]   // for 16.0.x
 ```
 
-If you are on Next.js 14.3.0-canary.77 or a later canary release, downgrade to the latest stable 14.x release:
+Next.js 14.3.0-canary.77 またはそれ以降の canary リリースを使用している場合は、最新の安定版 14.x リリースにダウングレードしてください。
 
 ```bash
 npm install next@14
 ```
 
-See the [Next.js changelog](https://nextjs.org/blog/CVE-2025-66478) for more info.
+詳細は [Next.js の変更履歴](https://nextjs.org/blog/CVE-2025-66478) を参照してください。
 
 ### React Router {/*update-react-router*/}
 
-If you are using React Router's unstable RSC APIs, you should upgrade the following package.json dependencies if they exist:
+React Router の安定前の RSC API を使用している場合、package.json に以下の依存ライブラリがあればアップグレードが必要です。
 
 ```bash
 npm install react@latest
@@ -94,75 +94,75 @@ npm install @vitejs/plugin-rsc@latest
 
 ### Expo {/*expo*/}
 
-To learn more about mitigating, read the article on [expo.dev/changelog](https://expo.dev/changelog/mitigating-critical-security-vulnerability-in-react-server-components).
+緩和策について詳しくは、[expo.dev/changelog](https://expo.dev/changelog/mitigating-critical-security-vulnerability-in-react-server-components) の記事を参照してください。
 
 ### Redwood SDK {/*update-redwood-sdk*/}
 
-Ensure you are on rwsdk>=1.0.0-alpha.0
+rwsdk>=1.0.0-alpha.0 であることを確認してください。
 
-For the latest beta version:
+最新のベータ版の場合は以下のようにします。
 
 ```bash
 npm install rwsdk@latest
 ```
 
-Upgrade to the latest `react-server-dom-webpack`:
+最新の `react-server-dom-webpack` にアップグレードしてください。
 
 ```bash
 npm install react@latest react-dom@latest react-server-dom-webpack@latest
 ```
 
-See [Redwood docs](https://docs.rwsdk.com/migrating/) for more migration instructions.
+その他の移行手順については [Redwood ドキュメント](https://docs.rwsdk.com/migrating/)を参照してください。
 
 ### Waku {/*update-waku*/}
 
-Upgrade to the latest `react-server-dom-webpack`:
+最新の `react-server-dom-webpack` にアップグレードしてください。
 
 ```bash
 npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest
 ```
 
-See [Waku announcement](https://github.com/wakujs/waku/discussions/1823) for more migration instructions.
+その他の移行手順については [Waku のアナウンス](https://github.com/wakujs/waku/discussions/1823) を参照してください。
 
 ### `@vitejs/plugin-rsc` {/*vitejs-plugin-rsc*/}
 
-Upgrade to the latest RSC plugin:
+最新の RSC プラグインにアップグレードしてください。
 
 ```bash
 npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest
 ```
 
 ### `react-server-dom-parcel` {/*update-react-server-dom-parcel*/}
 
-Update to the latest version:
+最新バージョンにアップデートしてください。
 
  ```bash
  npm install react@latest react-dom@latest react-server-dom-parcel@latest
  ```
 
 ### `react-server-dom-turbopack` {/*update-react-server-dom-turbopack*/}
 
-Update to the latest version:
+最新バージョンにアップデートしてください。
 
  ```bash
  npm install react@latest react-dom@latest react-server-dom-turbopack@latest
  ```
 
 ### `react-server-dom-webpack` {/*update-react-server-dom-webpack*/}
 
-Update to the latest version:
+最新バージョンにアップデートしてください。
 
  ```bash
 npm install react@latest react-dom@latest react-server-dom-webpack@latest
  ```
 
-## Timeline {/*timeline*/}
+## タイムライン {/*timeline*/}
 
-* **November 29th**: Lachlan Davidson reported the security vulnerability via [Meta Bug Bounty](https://bugbounty.meta.com/).
-* **November 30th**: Meta security researchers confirmed and began working with the React team on a fix.
-* **December 1st**: A fix was created and the React team began working with affected hosting providers and open source projects to validate the fix, implement mitigations and roll out the fix
-* **December 3rd**: The fix was published to npm and the publicly disclosed as CVE-2025-55182.
+* **11 月 29 日**: Lachlan Davidson 氏が [Meta Bug Bounty](https://bugbounty.meta.com/) を通じて脆弱性を報告。
+* **11 月 30 日**: Meta のセキュリティ研究者が確認し、React チームと協力して修正作業を開始。
+* **12 月 1 日**: 修正が作成され、React チームは影響を受けるホスティングプロバイダやオープンソースプロジェクトと協力して修正を検証、緩和策を導入、修正のロールアウトを開始。
+* **12 月 3 日**: 修正が npm に公開され、CVE-2025-55182 として一般公開。
 
-## Attribution {/*attribution*/}
+## 謝辞 {/*attribution*/}
 
-Thank you to [Lachlan Davidson](https://github.com/lachlan2k) for discovering, reporting, and working to help fix this vulnerability.
+この脆弱性を発見・報告し、修正に協力してくださった [Lachlan Davidson](https://github.com/lachlan2k) 氏に感謝します。