2025年12月3日、React Server Components（RSC）にReactのサーバサイド機能でリモートコード実行を可能とする深刻な脆弱性があるとして、CVE-2025-55182（React2Shell）が公開されました。CVSS 3.xスコアは10.0（クリティカル）。影響範囲は、Next.js、React Router、RedwoodSDK、Wakuほか、脆弱性のあるReactパッケージと依存関係にある環境など。すでに攻撃での悪用が観測されており、早急な対応が求められています（詳細は、発見者であるLachlan Davidson氏の解説ページを参照）。

自社環境が同脆弱性の影響を受けるかどうか確かめたい場合は、「Wappalyzer」が有効です。

Wappalyzerは、WebサイトのHTML、JavaScript、HTTPヘッダなどを解析し、使われている技術スタック（フレームワーク・CMS・JSライブラリ・サーバ・解析ツールなど）を自動判別して一覧表示するプロファイラです。Next.jsであれば、使用しているバージョンも分かります。

Wappalyzerの検出対象の一例：

JavaScriptフレームワーク: React, Vue, Angular, Next.jsなど

Webフレームワーク / サーバ: Express, Rails, Nginx, Apacheなど

CMS: WordPress, Drupal など

各種SaaS: GA, Tag Manager, Ad系, セキュリティ系サービスなど

Wappalyzerは、Chrome、Firefox、Edge、Safariの拡張機能として利用できます。それぞれの公式ストアで「Wappalyzer」と検索してインストールするだけです。無料で利用できるのは、月50回まで（2025年12月5日時点）。Webブラウザ右上のアドオンアイコンとしてピン留めしておくと、便利です。

使い方は簡単です。たとえば、Next.jsを使用しているかどうかを調べたい場合は、次の手順で行います。

1．調べたいWebサイトをWebブラウザで開く

2．アドオンアイコンからWappalyzerアイコンをクリックする

3．表示されたポップアップ画面から「JavaScriptフレームワーク」または「Webフレームワーク」のカテゴリを探して、Next.jsの記載があるかを確認する

バージョン情報が検出されないよう対策しているWebサイトもあるので、その場合は名称のみが表示されます。