Критични RSC грешки во React и Next.js овозможуваат неавтентицирано далечинско извршување на код

Објавена е безбедносна ранливост со максимална сериозност во React Server Components (RSC), која — ако биде успешно искористена — може да резултира со далечинско извршување на код.

Ранливоста е евидентирана како CVE-2025-55182 и има CVSS оцена 10.0. Кодното име на ранливоста е React2shell.

Овозможува „неавтентицирано извршување на код од далечина преку искористување на мана во начинот на кој React ги декодира payload-ите испратени до React Server Function endpoint-и“, соопшти React Team во денешното предупредување.

„Дури и ако вашата апликација не користи React Server Function endpoint-и, сè уште може да биде ранлива доколку поддржува React Server Components.“

Според cloud-безбедносната фирма Wiz, проблемот е логичка десериализација предизвикана од небезбедна обработка на RSC payload-и. Како резултат, неавтентициран напаѓач може да испрати специјално изработено HTTP барање до кој било Server Function endpoint и, при десериализација од React, да предизвика извршување на произволен JavaScript код на серверот.

„Проблемот произлегува од небезбедно ракување со серилизираните payload-и во React Flight протоколот“, објасни Aikido. „Погрешно формирани или злонамерни payload-и може да влијаат на серверското извршување на неочекувани начини. Закрпените верзии на React вклучуваат построга валидација и поотпорно десериализациско однесување.“

Ранливоста ги засега верзиите 19.0, 19.1.0, 19.1.1 и 19.2.0 од следните npm пакети:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack

Проблемот е решен во верзиите 19.0.1, 19.1.2 и 19.2.1. Безбедносниот истражувач od Нов Зеланд Lachlan Davidson е заслужен за откривањето и пријавувањето на ранливоста до Meta на 29 ноември 2025. Meta ја создаде и ја одржуваше библиотеката пред да ја префрли на React Foundation во октомври 2025.

Важно е да се напомене дека ранливоста влијае и на Next.js со App Router. Првично беше означена како CVE-2025-66478 (CVSS 10.0), но NVD ја отфрли оваа ознака како дупликат на CVE-2025-55182. Ранливоста ги засега верзиите >=14.3.0-canary.77, >=15 и >=16, а закрпените верзии се 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 и 15.0.5.

Секоја библиотека што содржи RSC веројатно е погодена. Ова вклучува (но не е ограничено на): Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodJS и Waku.

Endor Labs, Miggo Security и VulnCheck нагласуваат дека не е потребна специјална конфигурација за да се искористи ранливоста — експлоатацијата е можна без логирање и преку обичен HTTP.

„На напаѓачот му е потребен само мрежен пристап за да испрати специјално изработено HTTP барање до кој било Server Function endpoint“, соопшти Endor Labs. „Ранливоста ги погодува стандардните конфигурации на framework-ови, што значи дека типичните инсталации се веднаш експлоатирачки без посебни услови.“

Додека се применуваат закрпите, препораките се:

• поставување WAF правила ако се достапни,
• мониторинг на HTTP сообраќајот кон Server Function endpoint-и за сомнителни или погрешно формирани барања,
• привремено ограничување на мрежниот пристап до погодените апликации.

Cloudflare изјави дека вовел нова заштита во своето cloud-базирано WAF решение за CVE-2025-55182. Сите корисници — бесплатни и претплатници — се заштитени „доколку нивниот React сообраќај е проксиран“ преку Cloudflare. Akamai, AWS, Fastly и Google Cloud исто така воведоа слични правила.

Wiz наведе дека 39% од cloud околините имаат инстанци ранливи на CVE-2025-55182 и/или CVE-2025-66478. Поради сериозноста на проблемот, итно се препорачува применување на закрпите.

Justin Moore од Palo Alto Networks Unit 42 изјави дека над 968.000 сервери што користат модерни framework-ови како React и Next.js се идентификувани — претставувајќи огромна и вредна цел за напаѓачите.

„Оваа новооткриена ранливост е критична закана бидејќи функционира како ‘мастер-ключ’ експлоатација — не ги руши системите, туку ја злоупотребува нивната доверба во дојдовните структурирани податоци“, рече Moore. „Системот го извршува злонамерниот payload со иста сигурност како валидниот код, бидејќи тој работи токму како што е предвидено — само врз основа на злонамерен влез.“

Дополнителни детали за CVE-2025-55182 излегуваат на виделина

Во извештај објавен во средата, OX Security соопшти дека ранливоста постои поради небезбедна десериализација на React Flight одговорните payload-и на серверот, што доведува до неавтентицирано извршување на далечински код. Searchlight Cyber има изготвено HTTP-барање што може да се користи за потврдување на присуството на ранливоста.

„Ранливоста се наоѓа во функцијата requireModule во пакетот **react-server-dom-webpack,“ велат истражувачите на Upwind, Авитал Харел и Гај Гилад. „Оваа функција е одговорна за пронаоѓање и вчитување на извозените функции што клиентот се обидува да ги повика на серверот.“

Напаѓач може да ја искористи ранливоста со креирање злонамерен payload во HTTP POST барање, дизајнирано да активира „Server Action“ користејќи vm.runInThisContext, што предизвикува React да ја изврши функцијата со злонамерниот код испорачан од напаѓачот како аргумент. Ова, пак, резултира со извршување код на серверот со истите привилегии како процесот на Node.js.

Upwind исто така забележа дека, иако React не го изложува ранливиот React Flight reply серверски endpoint, Next.js тоа го прави, претворајќи го пропустот од теоретски проблем во „реална, оддалечено достапна напаѓачка површина.“

„Овие ендпоинти прифаќаат структуирани Flight payload-и директно од прелистувачот,“ додаваат тие. „Тоа значи дека секој на интернет може да испрати барање, да го прикачи својот Flight stream и да се потпре на Next.js да го препрати во React-овиот десериализатор. Кога тоа ќе се случи, ранливиот код-пат го обработува payload-от исто како да доаѓал од доверлив клиент.“

Извори:

• The Hacker News – Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution The Hacker News