- Нови недостатъци в компонентите на React Server, CVE-2025-55183 и CVE-2025-55184, позволяват излагане на изходния код и отказ на услуга.
- И двата проблема засягат специфични 19.x версии на пакетите react-server-dom-parcel, -turbopack и -webpack.
- Екипът на Meta, работещ по React, пусна фиксирани версии 19.0.3, 19.1.4 и 19.2.3 и настоятелно призовава за бързи ъпгрейди.
- Грешките бяха открити по време на стрес тестове на по-ранни пачове на React2Shell (CVE-2025-55182), което показва задълбочено проучване на повърхността за атака на RSC.
две новоразкрити уязвимости в React Server Components (RSC) обърнаха ново внимание на сигурността на съвременните JavaScript бекендове. Проследява се като CVE-2025 55183- намлява CVE-2025 55184-Тези недостатъци не позволяват директно дистанционно изпълнение на код, но все пак могат да причинят сериозни смущения чрез отказ на услуга и нежелано разкриване на изходния код на backend-а, когато се използват при правилните условия.
Тези грешки се появиха като част от по-широк преглед на сигурността, предизвикан от критичния проблем с React2Shell (CVE-2025-55182), която вече беше привлякла активна експлоатация в реално време. Въпреки че новите слабости са по-малко сериозни от по-ранната уязвимост 10.0 CVSS, те подчертават как след като критична грешка стане публично достояние, изследователите и нападателите се задълбочават в нея. съседни RSC кодови пътища, търсещи вариантни техники за атака.
Предистория: От React2Shell до нови уязвимости в RSC
Докато защитниците и екипът на React внедряваха смекчаващи мерки за React2Shell, изследователите по сигурността започнаха да изследват актуализирания код, за да проверят дали корекциите могат да бъдат заобиколени или разширени в нови експлойт примитивиТози процес е стандартна практика в цялата индустрия: след като дадена силно критична уязвимост бъде отстранена, близката логика и интерфейси се проверяват агресивно за подобни модели.
Именно по време на това последващо изследване документирани са три свързани RSC грешкипроблем с отказ на услуга (CVE-2025-55184), последващо непълно решение със същото въздействие (CVE-2025-67779) и слабост, свързана с разкриване на информация (CVE-2025-55183). Въпреки че CVE-2025-67779 е от значение и за сигурността на RSC, основният фокус сега е върху разбирането на... новоподробно описание на поведението и въздействието на CVE-2025-55183 и CVE-2025-55184.
Наред с този технически анализ, екипите за реагиране при инциденти са наблюдавали как вериги от експлойти се развиват около React2Shell, където атакуващите комбинират RCE с полезни товари след експлоатация и странично движение. Тази продължаваща активност увеличава спешността организациите да се справят с проблемите. всички свързани уязвимости на RSC, включително CVE-2025-55183 и CVE-2025-55184, като част от единна развиваща се повърхност за атака а не изолирани бъгове.
Откриването и отговорното разкриване на тези проблеми демонстрират как по-широката общност по сигурността, инженерите на доставчици и ловците на бъгове сътрудничат за укрепване на широко използвани рамки като React, дори когато противниците се опитват да превърнат същите компоненти в оръжие.
Технически подробности за CVE-2025-55184: Отказ на услуга в сървърни функции
CVE-2025-55184 е описан като Уязвимост от типа „отказ на услуга“ (DoS) преди предварително удостоверяване засягащи компонентите на React Server. Коренът на проблема се крие в начина, по който някои RSC пакети обработват десериализация на полезни товари от HTTP заявки насочени към крайни точки на сървърни функции.
В уязвимите версии, специално създадени заявки могат да задействат опасна логика на десериализация, която попада в безкраен цикълСлед като този цикъл се активира, процесът, обработващ сървърната функция, ефективно замръзва, което води до състояние, в което приложението вече не е в състояние да обслужва последващ HTTP трафик или да отговаря надеждно.
Въздействието е особено обезпокоително, защото недостатъкът може да бъде използван преди да се приложи каквото и да е удостоверяванеС други думи, нападателят не се нуждае от валидни идентификационни данни или повишени привилегии, за да се опита да използва уязвимостта; поток от злонамерени заявки е достатъчен, за да ангажира сървърните ресурси и потенциално... изключване на услуга, задвижвана от RSC.
Според публикуваното оценяване, CVE-2025-55184 носи Базов резултат по CVSS от 7.5, което го поставя в категорията с висока степен на сериозност. Въпреки че не предлага самостоятелно изпълнение на код, надежден DoS примитив срещу ключова част от backend стека все пак може да се превърне в рискове за наличност, нарушения на споразуменията за ниво на обслужване и въздействие върху бизнеса надолу по веригата.
По време на процеса на инсталиране на кръпка, отделен идентификатор, CVE-2025 67779-, беше присвоен на непълно решение за този проблем. Това последващо CVE се отнася до остатъчни пътища, които все още произвеждаха същия ефект на отказ на услуга, подчертавайки как Затварянето на сложни грешки в десериализацията може да изисква множество итерации, за да се обхване всеки краен случай..
Технически подробности за CVE-2025-55183: Излагане на изходния код чрез изработени заявки
Където CVE-2025-55184 е фокусиран върху наличността, CVE-2025-55183 се отнася до поверителносттаТази уязвимост се характеризира като грешка в изтичането на информация в компонентите на React Server което може да доведе до връщането на изходния код на определени сървърни функции на отдалечен клиент.
В уязвими версии, внимателно проектирана HTTP заявка, изпратена към изложена сървърна функция, може да задейства поведение, при което сървърът отговаря с основния код на всяка целева сървърна функцияТози вид изтичане на информация може да разкрие подробности за внедряването, бизнес логика, твърдо кодирани низове или друга чувствителна информация, която организациите обикновено пазят строго на сървърната страна.
Въпреки това, експлоатацията на CVE-2025-55183 е ограничена от специфично предварително условие: трябва да има поне едно Сървърна функция, чийто интерфейс предоставя аргумент, който е бил преобразуван във формат на низ, изрично или имплицитно. Само когато този модел съществува в използването на RSC от приложението, уязвимостта става достъпна за потенциален нападател.
Присвояване на рейтинги за сигурност CVSS резултат от 5.3 по CVE-2025-55183, което го поставя в диапазона със средна тежест. Въпреки това, разкриването на изходния код може да е далеч от безобидно. Познаване на вътрешните имена на функции, параметри, обработка на грешки и потоци от данни може да помогне на противниците да измислят по-персонализирани атаки, откриват скрити слабости и проектират фишинг или социално инженерство, които са по-близки до реалното поведение на системата.
Отвъд всяка непосредствена експлоатационна стойност, видимостта, получена от изтекъл код на сървърни функции, може ефективно да превърне приложението в свое собствено план за бъдещи опити за проникване, особено в среди, където едни и същи модели се появяват в множество услуги.
Засегнати пакети и версии в екосистемата на React RSC
Новодокументираните уязвимости засягат набор от Пакети за интеграция на React Server Components, по-специално имплементациите, които включват RSC в инструменти за изграждане и изпълнение. Засегнатите модули са:
- реагиращ-сървър-dom-парцел
- реагира-сървър-dom-turbopack
- реагира-сървър-dom-уебпак
За CVE-2025-55184 и CVE-2025-55183 засегнатите версии обхващат множество издания 19.x. Уязвимият набор включва 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1Екипите за разработка, които изпълняват тези версии в производствена или тестова среда, трябва да приемат, че техните инстанции може да е податлив на отказ на услуга или изтичане на изходен код ако е изложен на ненадежден трафик.
В допълнение, непълната корекция, представена от CVE-2025 67779- засяга версии 19.0.2, 19.1.3 и 19.2.2Въпреки че този идентификатор е свързан със същия вид DoS поведение като CVE-2025-55184, той подчертава, че дори обновените среди може да останат частично изложени на риск, ако са инсталирани тези междинни версии.
Диапазонът от засегнати версии показва как Бързият итерационен цикъл на RSC може да усложни управлението на корекциите. Организациите, които обновяват спорадично или се прикрепят към конкретни второстепенни версии, може да не осъзнаят, че новодостъпната версия попада в засегнатия прозорец, което прави внимателен одит на версиите е от съществено значение.
Предвид популярността на екосистемата React и нарастващото приемане на сървърни компоненти за производителност и разработчици, наборът от приложения, потенциално засегнати от CVE-2025-55183 и CVE-2025-55184 вероятно ще обхване широк спектър от индустрии и модели на внедряване.
Пачвани версии и препоръчителен път за надграждане
За да се справи с уязвимостите, екипът на React пусна пачвани версии за всичките три засегнати RSC пакетаПотребителите се насърчават да мигрират възможно най-скоро към следните фиксирани версии:
- 19.0.3
- 19.1.4
- 19.2.3
Според разработчиците на поддръжката, тези актуализации напълно да се смекчи проблемът с отказ на услуга, въплътен в CVE-2025-55184 и свързания с него CVE-2025-67779, както и рискът от разкриване на информация, описан в CVE-2025-55183. Важно е да се отбележи, че по-ранният вектор на React2Shell (CVE-2025-55182) също е блокиран от по-широкия набор от корекции, които са били издадени в клоновете 19.x.
Екипите, отговорни за внедряването в производство, се насърчават да третират това като задача по поддръжка с висок приоритет, особено като се има предвид активното проучване на уязвимостите на RSC както от легитимни изследователи, така и от враждебни участници. Когато незабавното внедряване на най-новата второстепенна линия не е осъществимо, организациите трябва поне да осигурят те не са заседнали на нито една от конкретно изброените уязвими компилации.
Както винаги, обновяването на библиотеките трябва да върви ръка за ръка с тестване и поетапно внедряванеДобавянето на регресионни проверки около критични сървърни функции, наблюдението на процента на грешки след надстройката и прегледът на регистрационните файлове за необичайна десериализация или сериализация могат да помогнат да се гарантира, че новите версии се държат според очакванията при реален трафик.
Бързата наличност на корекции подчертава позицията на екипа на React, че множеството кръгове от разкрития не са непременно признак за неуспешно отстраняване, а по-скоро за цикъл на здравословен отговор, при който дълбочината на защитата се подобрява с течение на времето тъй като се разкриват и разрешават повече гранични случаи и варианти на пътища.
Как са открити и докладвани уязвимостите
Новодокументираните недостатъци отразяват продължаващо сътрудничество между независими изследователи по сигурността и програмата за откриване на грешки на MetaПроблемите с отказ на услуга, CVE-2025-55184 и последващият CVE-2025-67779, бяха докладвани от RyotaK и Shinsaku Nomura, който си спечели признание за идентифицирането на това как злонамерени полезни товари биха могли да доведат RSC до състояние на неотзивчивост.
Уязвимост от изтичане на информация, CVE-2025 55183-, беше разкрито от Андрю Макферсън, който подчерта условията, при които сървърна функция може да върне собствения си изходен код, когато ѝ бъде представена внимателно конструирана HTTP заявка.
Тези открития се появиха, докато изследователите активно се опитваха да стрес тестване на съществуващите смекчаващи мерки за CVE-2025-55182По този начин те ефективно възпроизведоха вида аналитична работа, която биха могли да извършат решителни нападатели, но в рамките на отговорно докладване и координирано разпространение на корекции.
Екипът на React публично призна, че подобни модели са типично за софтуерната индустрия, не само в рамките на екосистемата на JavaScript. След като критична грешка привлече вниманието, разработчиците и противниците търсят „вариантни“ стратегии за експлоатация по съседни кодови пътища, понякога разкривайки преди това пренебрегвани слабости.
Чрез своевременно и прозрачно справяне с CVE-2025-55183, CVE-2025-55184 и CVE-2025-67779, отговорниците за поддръжката се стремят да бъдете в крак с потенциалното оръжаване като същевременно дава на организациите ясни насоки как да осигурят сигурността на своите внедрявания на React Server Components.
Контекст на риска: Защо грешките, които не са RCE, все още имат значение
Въпреки че тези нови уязвимости сами по себе си не предоставят на атакуващия директно дистанционно изпълнение на код, те все още могат да бъдат висококачествени инструменти в по-широк комплект за защита от проникванеУязвимост, която отклонява услугата (DOS) като CVE-2025-55184, може да се използва за нарушаване на операциите, да действа като димна завеса, която разсейва защитниците, или да изследва колко устойчива е инфраструктурата на организацията при необичайно натоварване.
Успоредно с това, вектор за експозиция на изходния код, като например CVE-2025-55183 може да подпомогне разузнавателните усилияДостъпът до вътрешния текст на сървърните функции може да разкрие как се удостоверяват заявките, кои параметри влияят върху достъпа до базата данни, как се обработват грешките и къде са интегрирани услуги на трети страни. Тази видимост е безценна за атакуващите, които се опитват да планират по-прецизни или скрити опити за експлоатация.
В среди, които вече се справят с последиците от React2Shell (CVE-2025-55182), тези допълнителни слабости увеличават сложността на цялостния пейзаж на заплахите. Защитниците са принудени да обмислят не само незабавното предотвратяване на RCE, но и стабилност и поверителност на поведението на RSC при злонамерен вход.
От гледна точка на управлението, тази ситуация подчертава защо Програмите за управление на уязвимостите трябва да гледат отвъд грабващите заглавията оценки на CVSS 10.0Грешки със средна и висока степен на сериозност, засягащи наличността и разкриването на информация, все още могат да бъдат ключови, особено когато се комбинират с други техники в реалистична верига от атаки.
В крайна сметка, тези развития затвърждават идеята, че поддържането на сигурни внедрявания на RSC не е еднократно усилие. Вместо това, това е непрекъснат процес на... инсталиране на корекции, наблюдение, тестване и преглед на това как са проектирани и достъпни сървърните функции с течение на времето.
Докато прахът около извънредната ситуация с React2Shell и свързаните с нея последващи открития се утаява, организациите, използващи React Server Components, са принудени да... преразгледат версиите на зависимостите си, подсилят сървърните си интерфейси и реагират бързо на предупрежденията за сигурност от горната част на систематаКато са в крак с най-новите издания с корекции и интегрират проверки за сигурност в своите работни процеси за разработка, екипите могат значително да намалят възможностите за атакуващите, насочени към CVE-2025-55183, CVE-2025-55184 и свързаните с тях RSC уязвимости.
